BOAS PRÁTICAS PARA PERÍCIA FORENSE - Sobre...
44
Daniel Moraes da Costa R.A. 0502017 - 8º Semestre A BOAS PRÁTICAS PARA PERÍCIA FORENSE Jaguariúna 2008
Transcript of BOAS PRÁTICAS PARA PERÍCIA FORENSE - Sobre...
Daniel Moraes da Costa
R.A. 0502017 - 8º Semestre A
BOAS PRÁTICAS PARA PERÍCIA FORENSE
Jaguariúna
2008
Daniel Moraes da Costa
R.A. 0502017 - 8º Semestre A
BOAS PRÁTICAS PARA PERÍCIA FORENSE
Monografia apresentada à disciplina Trabalho de Graduação III, do Curso de Ciência da Computação da Faculdade de Jaguariúna, sob a orientação do Prof. Ms. Sílvio Petroli Neto, como exigência parcial para conclusão do curso de graduação.
Jaguariúna
2008
COSTA, Daniel Moraes da. Boas Práticas para Perícia Forense. Monografia defendida e aprovada na FAJ em 08 de dezembro de 2008 pela banca examinadora constituída pelos professores:
__________________________________________________________________________ Prof. Ms. Sílvio Petroli Neto - Orientador Faculdade de Jaguariúna
__________________________________________________________________________ Prof. MS. Peter Jandl Jr. Faculdade de Jaguariúna
__________________________________________________________________________ Luis Antonio Lopes da Silva Motorola do Brasil S/A
Dedico esta monografia aos meus queridos pais,
João Geraldo da Costa e Maria O. Moraes da
Costa, e meu irmão Giovani Moraes da Costa,
por sempre me apoiarem e acreditarem em
minhas escolhas.
A todos os amigos que acreditaram em mim e
me apoiaram sempre.
AGRADECIMENTOS
Primeiramente, agradeço a Deus por minha vida, saúde, família, por me guiar pelos
caminhos e sempre estar ao meu lado nas horas difíceis e nunca me deixar desistir.
Agradeço aos meus pais, João Geraldo da Costa e Maria O. Moraes da Costa, por
todas as lições ensinadas, pela compreensão e dedicação em toda a minha vida.
Ao meu irmão Giovani por sempre me incentivar a chegar a mais esta conquista e por
acreditar em minhas escolhas.
Em especial ao meu orientador Prof. Ms. Sílvio Petroli Neto, pela orientação, por toda
paciência e atenção, confiança, seriedade, críticas, profissionalismo o qual se tornou um
grande amigo.
Agradeço imensamente ao grande profissional Marcello Zillo Neto, por aceitar me
ajudar em todo este trabalho, pelo empenho e disposição, materiais, revisões e críticas. Sua
ajuda fez este trabalho de um sonho se tornar uma realidade.
Agradeço a grande pessoa e profissional Eduardo Becker Tagliarini, por toda a ajuda,
leitura, paciência e por compartilhar muito de sua vivencia e experiência profissional comigo.
Agradeço ao meu grande amigo José Luiz da Costa pelas dicas, críticas, sugestões,
por todo o empenho e dedicação em me ajudar nesta conquista.
Ao profissional Tony Rodrigues pelas dicas sobre análise de memória e ferramentas
utilizadas.
A coordenação do curso e todos os professores que no decorrer de todo o curso se
empenharam compartilhando o conhecimento e contribuindo imensamente para meu
crescimento intelectual, pelas sugestões, críticas e dedicação.
A todos os meus amigos pelos momentos de conversa, convivência, compreensão,
ajuda, companheirismo e pela troca de experiências em especial meus amigos Diego,
Evandro, Pedro, Fábio, Bruno, Lawrence e Thiago.
A todos que de alguma forma participaram desta minha conquista.
Muito obrigado!
“A luta pela verdade deve ter precedência
sobre todas as outras.”
(Albert Einstein)
COSTA, Daniel Moraes da. Boas Práticas para Perícia Forense. 2008. Monografia (Bacharelado em Ciência da Computação) – Curso de Ciência da Computação da Faculdade de Jaguariúna, Jaguariúna.
RESUMO
Com a evolução das tecnologias e o uso cada vez maior da informática na sociedade, os crimes também atualmente fazem uso desta tecnologia. A cada dia torna-se mais primordial a análise de computadores pela perícia forense computacional, já que muitos criminosos utilizam recursos de criptografia como métodos anti-forenses visando assim retardar e até mesmo impedir a investigação de um equipamento. A perícia forense computacional preza muito pela integridade e preservação dos dados, ou seja, nada pode ser alterado e neste caso o uso do conteúdo da memória seria invalidado já que o mesmo deixa de existir assim que o equipamento é desligado. O objetivo deste trabalho é demonstrar a possibilidade ou não de se obter o conteúdo da memória do equipamento no momento da apreensão baseado em metodologias de pericia convencional como a balística forense e a papiloscopia forense onde as provas são manuseadas para se obter a veracidade dos fatos, ou seja, tal fato só é permitido devido à metodologia poder ser comprovada e aceita perante um tribunal. No caso da perícia forense computacional o conteúdo da memória deixando de existir assim que o equipamento for desligado é necessário que algo possa validar esta investigação já que no conteúdo da memória podem existir arquivos descriptografados. Atualmente existem ferramentas que permitem realizar uma cópia do conteúdo da memória, porém para tal fato ser aceito e validado é necessário que o mesmo possua fé pública e para isso faz-se necessário a utilização de um recurso muitas vezes esquecido pelos profissionais a Ata Notarial que possibilita que um procedimento seja todo documentado por um tabelião o qual é dotado de fé pública fazendo assim com que o procedimento realizado pelo profissional também tenha fé pública perante o tribunal. Palavras-chave: PERÍCIA, FORENSE, COMPUTACIONAL, ANÁLISE, MEMÓRIA.
SUMÁRIO
LISTA DE FIGURAS.............................................................................................................. 9
LISTA DE ABREVIATURAS E SIGLAS ............................................................................... 10
1. INTRODUÇÃO................................................................................................................. 11
2. CRIMINALÍSTICA ............................................................................................................ 13
3. CRIMES........................................................................................................................... 14
4. CRIMES COMPUTACIONAIS ......................................................................................... 15
5. PERÍCIA FORENSE ........................................................................................................ 23
6. PERÍCIA FORENSE COMPUTACIONAL ........................................................................ 26
7. TÉCNICAS DE PERÍCIA FORENSE................................................................................ 30
7.1. Confronto microbalístico ............................................................................................... 30
7.2. Papiloscopia ................................................................................................................. 34
7.3. Análise de memória ...................................................................................................... 35
8. FERRAMENTAS DE PERÍCIA COMPUTACIONAL......................................................... 37
8.1. Ferramenta Helix .......................................................................................................... 37
8.2. Ferramenta Helix e DD ................................................................................................. 38
8.3. Ferramenta Volatility ..................................................................................................... 40
8.4. Os perigos da análise de memória online ..................................................................... 42
9. CONCLUSÃO.................................................................................................................. 43
10. REFERÊNCIAS BIBLIOGRÁFICAS............................................................................... 44
LISTA DE FIGURAS
Figura 1: SPAM enviado por e-mail ..................................................................................... 16
Figura 2: Falsa tela de site do homebank ............................................................................ 17
Figura 3: Tela falsa questionando usuário ........................................................................... 18
Figura 4: Cracker solicita as letras do cartão do usuário...................................................... 18
Figura 5: Cracker solicita todas as combinações do cartão da vítima .................................. 19
Figura 6: Cracker solicita senha pessoal da vítima .............................................................. 19
Figura 7: Comunicado ao usuário sobre manutenção do site............................................... 20
Figura 8: Certificado de segurança clonado......................................................................... 20
Figura 9: Cartucho de munição de arma de fogo (SATO, 2003) .......................................... 31
Figura 10: Cartucho na câmara pronto para o disparo (SATO, 2003). ................................. 32
Figura 11: Comparação microbalística de projéteis (SATO, 2003)....................................... 33
Figura 12: Cápsulas percutidas pela mesma arma apresentando marcas da culatra em
forma de linha paralela (SATO, 2003).................................................................................. 33
Figura 13: Confronto das marcas de culatra estampadas à esquerda do sinal de percussão.
As setas indicam que as marcas coincidem em ambas as cápsulas (SATO, 2003). ............ 34
Figura 14: Ferramenta Helix ................................................................................................ 37
Figura 15: Listagem dos aplicativos executando.................................................................. 38
Figura 16: Ferramenta para recuperar o conteúdo da memória ........................................... 39
Figura 17: Listagem dos processos pela ferramenta Volatility.............................................. 41
Figura 18: Relação das conexões ativas pela ferramenta Volatility...................................... 41
LISTA DE ABREVIATURAS E SIGLAS
CD Compact Disk
DoS Denial of Service
DVD Digital Vídeo Disk
HD Hard Disk
IEEE Institute of Electrical and Electronics Engineers
IOCE The International Organization of Computer Evidence
IP Internet Protocol
MS-DOS MicroSoft Disk Operating System
PDA Personal Digital Assistant
PFC Perícia Forense Computacional
PID Process ID
SWGDE Scientific Working Group on Digital Evidence
11
1. INTRODUÇÃO
Desde os primórdios a sociedade convive com os crimes e a violência, a sociedade
evoluiu, com isso também os crimes e a violência. Para tentar manter a ordem foram
estabelecidas leis pelas autoridades.
A evolução da sociedade foi acompanhada pelo avanço tecnológico que cada vez
mais atinge as diferentes camadas da sociedade. Os crimes crescem a cada dia e para que
um indivíduo seja condenado é necessário que todo o rito processual seja cumprido.
Parte desse rito é a materialização do crime cometido, a qual será feita através da
criminalística, quando da realização dos exames periciais.
De acordo com Zarzuela (1996, p. 9),
Para a criminalística, o delito, como um ato humano, deve ser apontado e
comprovado de forma científica ou técnica, não importando as causas,
circunstâncias ou peculiaridades que conduziram o indivíduo à sua prática.
Esse é o papel da Perícia Forense, que tem como objetivo demonstrar, através de
métodos científicos, a verdade, auxiliando na tomada de decisão final nos casos judiciais.
Atualmente a perícia forense é utilizada em praticamente todos os casos, porém com
metodologias e exigências diferentes para cada tipo de crime investigado.
Este trabalho visa realizar uma comparação entre as metodologias de perícia forense
convencionais de outras áreas e a Perícia Forense Computacional (PFC), mostrando se é
possível quebrar alguns paradigmas da PFC, reproduzindo a metodologia de perícia forense
convencional para o mundo computacional.
Com a constante evolução das tecnologias na área computacional, a PFC tem sido
cada vez mais dificultada, pois, existem atualmente alguns paradigmas que muitas vezes
tornam a análise e levantamento de evidências menos útil e ágil do que poderiam ser.
Vale destacar a utilização cada vez maior de técnicas e ferramentas que venham a
dificultar a prática delituosa e seu autor, tornando ainda mais necessário o desenvolvimento
de novos métodos de busca por evidências digitais.
De acordo com Zillo Neto (2008),
Todos os dias novas tecnologias surgem e daí a necessidade de novas
preocupações com segurança, novas especificações, novos padrões, e antes
mesmo de implementarmos novas tecnologias seguras, aparecem outras,
depois outras e sucessivamente, realmente vira uma corrida contra o tempo [...]
A PFC atualmente zela muito pela coleta e guarda das provas de forma a evitar
alterações e quebra de integridade das mesmas, ou seja, as provas analisadas devem
permanecer da forma que foram encontradas (SHINDER, 2002). Porém, muitas provas
como ameaças digitais que cada vez mais se utilizam de mecanismos de criptografia, só
podem ser analisadas quando estão em execução ou com o equipamento ligado, onde
12
sofrem pequenas “alterações” (SECURITYFOCUS, 2007). Nestes casos só é possível
analisar a prova se ocorrer uma pequena alteração.
Em outras áreas da perícia, como a criminal, a prova é "alterada" sem contestação,
desde que o método utilizado seja cientificamente comprovado e reconhecido. No
procedimento de perícia de uma arma de fogo, por exemplo, deve ocorrer o disparo com a
arma em ambiente de laboratório para analisar a prova do possível crime, ao ser efetuado o
disparo da arma ocorre uma “alteração” de provas. Isso não diz que a prova seja modificada
a ponto de tornar inadmissível a perícia, porém a mesma precisa ser manuseada e
preparada para a análise. E por que isso não é contestado? Devido ao método utilizado
poder ser cientificamente comprovado e reconhecido, a prova é examinada em suas
condições originais, fazendo com que o mesmo seja aceito (U.S. Departament of Justice –
FBI, 1994).
Isso também ocorre na coleta de digitais que estão presentes na cena do crime de
forma latente, onde só é possível a coleta através do uso de elementos químicos, os quais
são utilizados para perpetuar a prova, mas não comprometendo a análise ou danificando-a.
13
2. CRIMINALÍSTICA
A criminalística é considerada uma disciplina nascida da Medicina Legal, esta quase
tão antiga quanto a própria humanidade. Isto porque nas épocas passadas o médico era
pessoa de grande saber sendo, portanto sempre consultado, mas com os avanços dos
diversos ramos das ciências, como a Química, a Biologia e a Física, houve a necessidade
de especialização, o que fez com que outros profissionais passassem a ser consultados.
Afirma-se que a criminalística nasceu com HANS GROSS, o qual é considerado o pai,
já que foi ele quem cunhou este termo, juiz de instrução e professor de direito penal
austríaco, autor da obra “System Der Kriminalistik”, em 1893. Considerada um manual de
instruções dos juízes de direito, a qual definia a criminalística como “O estudo da
fenomenologia do crime e dos métodos práticos de sua investigação”.
Criminalística é definida como disciplina cujo objetivo é o reconhecimento e
interpretação dos indícios materiais que não fazem parte do corpo humano ou à identidade
das pessoas envolvidas no delito.
Englobando conhecimentos estruturados em várias outras disciplinas como a
Matemática, Química, Tecnologia, a criminalística tem como objetivo principal, a ampliação
do conhecimento e desenvolvimento de novas técnicas para o aperfeiçoamento da
evidência, fornecendo assim a justiça provas objetivas.
A criminalística pode ser dividida em duas fases, sendo a primeira aquela em que se
buscava a verdade através de métodos primitivos, mágicos ou através da tortura,
considerando que na maioria das vezes não se conseguia obter uma confissão do acusado
de forma espontânea. A segunda fase procurava a verdade através de métodos racionais,
surgindo assim os fundamentos científicos da criminalística deixando de lado as crenças nos
milagres e mágicas. Paralelamente verificou-se que através das ciências naturais é possível
interpretar os vestígios do delito através da analise das evidências do fato e sua autoria.
Desde o seu surgimento a criminalística visa estudar o crime de forma a não distorcer
os fatos, zelando pela integridade e sempre perseguindo a evidência de forma a oferecer a
justiça, um meio de obter os argumentos decisórios para a prolação da sentença
(ZARZUELA, 1996).
14
3. CRIMES
Crime é definido como toda a ação ou omissão, típica, antijurídica, tal que:
a) Ação ou omissão: Significa que o crime é sempre praticado através de uma
conduta positiva (ação). Ou através de uma forma negativa (omissão).
b) Típica: Significa que a ação ou omissão praticada pelo criminoso deve ser
tipificada, isto é, descrita em lei como delito.
c) Antijurídica: Significa que a conduta sendo ela positiva ou negativa, além de típica,
deve ser antijurídica, isto é, contrária ao direito. Será antijurídica a conduta que
não encontrar uma causa que venha a justificá-la.
d) Culpável: Significa o que se passa na mente do criminoso que praticou um delito,
podendo ter desejado um resultado criminoso (agiu com dolo direto); ter se
arriscado e produzido um resultado criminoso (agiu com dolo direto eventual); ou,
ainda não ter desejado aquele resultado criminoso, mas o mesmo ocorreu por
imprudência, negligência ou imperícia (agiu com culpa) (ELEUTÉRIO, 2008).
Para que um crime seja considerado, é necessário percorrer toda uma rota de
evidências, apreciando e analisando todas as características que o delito deve apresentar e
apenas depois disso chegar a uma conclusão. O conceito de crime ainda esta em evolução,
porém acredita-se que o conceito adotado perdurará por muito tempo (ELEUTÉRIO, 2008).
15
4. CRIMES COMPUTACIONAIS
Os crimes computacionais, crimes eletrônicos, crimes informáticos, entre outros
termos utilizados surgiram no final do século XX e compreendem todas as formas de
conduta consideradas ilegais realizadas utilizando o computador, como a pirataria de
softwares, manipulação de dados ou informações, espionagem, acesso não autorizado a
redes e computadores, abusos nos sistemas de telecomunicação entre muitos outros.
Desde o seu surgimento os crimes computacionais têm preocupado o mundo, porém, não
há um consenso para a classificação dos crimes computacionais.
Para ARAS (2008) “na doutrina brasileira, tem-se asseverado que os crimes
informáticos podem ser puros (próprios) e impuros (impróprios)”. Porém, atualmente no
Brasil não existe uma lei especifica que trate dos crimes de informática, o que existe é
apenas um projeto de lei, o qual está em trâmite no congresso e o que ocorre é o uso de
equipamentos de informática para a prática de delitos tipificados como: extorsão, difamação,
calúnia, injúria, furto.
Os crimes considerados puros ou próprios são aqueles praticados através do
computador os quais se realizam também por meio eletrônico, onde a informática é o objeto
jurídico tutelado. Já nos crimes considerados impuros ou impróprios são aqueles em que
para se produzir o resultado naturalístico que atue no mundo físico ou o espaço “real”,
lesando outros bens não-computacionais da informática (DAMÁSIO apud ARAS, 2008).
Muitos crimes realizados com o uso da internet podem ser considerados como
próprios ou impróprios, como o pishing, trojan e spam. Atualmente estes crimes geram
prejuízos enormes, os bancos estipulam valores em centenas de milhões de reais.
O pishing é um tipo de fraude eletrônica com o objetivo de se obter dados valiosos
para posteriormente realizar uma fraude ou um roubo. Estas informações são obtidas
através de sites falsos, e-mails falsos usando sempre de pretextos falsos para enganar a
quem recebe a mensagem.
No caso do trojan ou cavalo de tróia, tem como principal objetivo entrar no computador
e liberar o acesso do mesmo através de uma porta para que o criminoso possa acessá-lo
posteriormente e procurar por senhas no computador da vítima.
O spam é toda mensagem enviada para vários destinatários que não solicitaram a
mesma. O termo spam é nome de um tipo de carne enlatada da empresa norte-americana
Hormel Food, este termo tornou-se sinônimo de incomodo na década de 70 em um dos
episódios de um grupo humorístico inglês Monty Pyton, no qual o grupo de vikings repetia
incansavelmente a palavra “spam”, importunando a todos que estavam em um bar. Com o
16
surgimento da internet o termo spam virou sinônimo de mensagens indesejadas. Muitas
vezes estas mensagens trazem links para pishing e trojans.
A Figura 1 retrata um e-mail com a intenção de fazer com que a vítima execute um
programa que será instalado no computador para posteriormente obter seus dados, um
cavalo de tróia.
Figura 1: SPAM enviado por e-mail
De acordo com Zillo Neto (2006) o SPAM é,
[...] Um problema de segurança e até mesmo de produtividade que continua
sendo explorado, afinal ainda existem usuários que "clicam" nos e-mails
indesejados. Se o "recurso" de Spam continua sendo utilizado, com certeza ele
ainda dá "lucros". Fica comprovado que as "caixinhas" não resolvem esses
problemas definitivamente, a educação e conscientização de usuários deve ser
uma estratégia complementar.
No mundo digital é adotado o termo hacker para descrever o criminoso que atua neste
meio, apesar de não haver um consenso entre autores estes são divididos em vários outros
termos de acordo com o tipo de crime cometido (NOGUEIRA, 2001).
Hackers em geral são simples invasores de sistemas, os quais realizam tais invasões
como forma de desafiar seus próprios conhecimentos e segurança de sistemas
informatizados do governo ou grandes empresas privadas, tendo como objetivo o
reconhecimento de suas habilidades mesmo que agindo de forma anônima, apenas por
assim dizer para alimentar o seu ego. No inicio foram recebidos como os grandes heróis da
17
informática, pois através de seus atos teriam contribuído diretamente para o
aperfeiçoamento dos computadores pessoais e corporativos, a segurança dos sistemas
informáticos bem como para o desenvolvimento da indústria do software. Estes hackers por
sua contribuição e também por não terem como objetivo o abuso ou furto de informações ou
prejuízo a empresas e governo são considerados os hackers éticos.
Os crackers são considerados os “hackers antiéticos”, pois agem como os hackers,
porém utilizam o seu conhecimento para invadir sistemas informáticos, furtar informações,
adulterar dados, prejudicar pessoas, empresas, governos e o que mais for necessário para
obter o que desejam, causando os mais diversos tipos de prejuízo as vitimas e também a
sociedade.
A Figura 2 exibe a tela fraudada do site de um banco, esta tela é exibida logo após o
usuário efetuar o seu login na página principal do banco. Como nota-se o nome do usuário
não é informado e falta a comunicação de que se o nome não estiver correto é necessário
entrar em contato com a equipe técnica. Nota-se que o site possui um certificado se
segurança pelo cadeado exibido no browser.
Figura 2: Falsa tela de site do homebank
Na Figura 3 após o usuário informar os dados de sua agência e conta, o correto seria
abrir uma página com o menu principal do homebank, porém ao invés desta página, é
exibida uma página em que o usuário é questionado sobre o recebimento de um cartão que
contendo dados que servem como uma chave de segurança. Dependendo da opção em que
o usuário clicar, SIM ou NÃO, a seqüência de obtenção de dados será diferente, neste caso
optou-se por clicar em SIM.
18
Figura 3: Tela falsa questionando usuário
A Figura 4 é a tela exibida ao usuário após o mesmo clicar na opção SIM na Figura 3,
nesta página o cracker, solicita que a vítima informe as letras que estão em seu cartão, fato
este que não é solicitado no site verdadeiro do banco.
Figura 4: Cracker solicita as letras do cartão do usuário
Na Figura 5 nota-se que o cracker novamente solicita que a vítima informe todas as
combinações possíveis descritas em seu cartão. Este procedimento não deveria ser
solicitado, já que essa combinação tem por função oferecer segurança, e tal solicitação vai
diretamente contra tal função.
19
Figura 5: Cracker solicita todas as combinações do cartão da vítima
Na Figura 6 é solicitado que a vítima informe sua senha pessoal de transação bancária
pelo homebank, nota-se que não é a senha para acesso ao homebank, e sim a senha que
permite a realização de transações bancárias.
Figura 6: Cracker solicita senha pessoal da vítima
Após informar a sua senha, a vítima recebe um comunicado de que no momento o site
do homebank, se encontra em manutenção e solicita que a vítima acesse o site
posteriormente, conforme a Figura 7. Aqui é observado outro ponto importante, os avisos de
manutenção do site são feitos antes de o usuário inserir qualquer tipo de senha bloqueando
o acesso ao site. Essa comunicação nunca é feita após a inserção de todos os dados,
ficando claro que se trata de um site falso.
20
Figura 7: Comunicado ao usuário sobre manutenção do site
Alguns especialistas dizem que um modo de se identificar um site bancário falso é
clicando no cadeado que aparece na lateral direita da extremidade inferior da página. Tal
informação tem como embasamento de que ao se clicar no cadeado do site falso, este não
abrirá uma nova janela contendo os dados do certificado. Mas como se pode observar na
Figura 8, isto não é verdade.
Figura 8: Certificado de segurança clonado
21
Os phreakers são os hackers por assim dizer especializados em fraudar sistemas de
telecomunicação, fraudando linhas de telefone convencionais e celulares para fazer uso
destas de forma gratuita.
O Lamer é o indivíduo que realiza seus ataques baseado em informações encontradas
em sites e livros de hackers para invadir redes ou computadores pessoais com segurança
frágeis.
O Wannabe é o indivíduo que se intitula hacker ou cracker, porém ainda não possui o
conhecimento necessário para denominar-se assim. De posse de programas para realizar
invasão a computadores apenas sabe como utilizá-los e não os conhece a fundo o
funcionamento dos mesmos.
O Wizard é tido entre os criminosos como o mestre dos hackers, seus conhecimentos
são profundos e variados, não sendo necessariamente mal-intencionado. Tem o status de
mito, com direito a lendas e casos sobre ele (NOGUEIRA, 2001).
No mundo computacional ainda existem várias outras definições para os criminosos
eletrônicos, como os cyberpunks e os cyberterrorists que aplicam seus conhecimentos para
o desenvolvimento de vírus de computador com objetivos de sabotar redes de
computadores, roubar dados confidenciais e em alguns casos realizar ataques de negação
de serviço.
Apesar de todas as definições utilizadas para os criminosos eletrônicos a grande
maioria das pessoas utiliza a palavra hacker para identificar o criminoso.
Os crimes computacionais podem ocorrer de diversas formas utilizando-se de recursos
como a Engenharia Social onde nem mesmo é necessário conhecimento técnico, mas o
importante é ter o conhecimento do comportamento humano afim de que se consigam as
informações do alvo atingido de forma que ele mesmo não perceba que estas foram
passadas.
Quebras de senha também são ataques comuns, pois nesses casos os hackers
tentam obter as senhas de redes as quais estão conectados utilizando-se de vários métodos
como, por exemplo, o ataque de força bruta onde são efetuadas várias tentativas até que se
consiga descobrir a senha e credencial correta ou através de programas quebradores de
senha os quais também utilizam tentativa e erro para a descoberta de credenciais. Existem
também os ataques de backdoor, ou porta dos fundos, onde os programadores deixam
portas abertas em programas para futuras manutenções. Os ataques DoS (Denial of
Service), ou seja, um ataque com o objetivo de realizar solicitações a um mesmo
computador através de uma rede de computadores, fazendo com que o mesmo não consiga
atender a todos os chamados onde o computador atacado fica inoperante (NOGUEIRA,
2001).
22
Não são incomuns atualmente casos de perseguição, ameaças, pedofilia, violação de
privacidade, crimes contra a honra, liberdade individual através de computadores. Nestes
casos então o computador serve como o instrumento do crime, ou seja, são diversos crimes
já conhecidos executados através de um computador (SHINDER, 2002).
Todos estes crimes mostram o quanto é inevitável e imprescindível a atuação da
Justiça Penal na informática, porém para assessorar a mesma são necessárias
metodologias científicas capazes de identificar seus autores e é neste momento em que a
perícia forense entra para auxiliar a Justiça.
23
5. PERÍCIA FORENSE
O termo Perícia vem do latim e significa destreza, competência e habilidade, e
Forense se refere ao foro judicial, relativo aos tribunais. Pode-se dizer então, que a perícia
forense é o termo adotado para identificar os métodos científicos da criminalística para se
identificar e obter a evidências necessárias para o auxilio da justiça.
A perícia forense trabalha investigando o fato de um crime buscando materializar o ato
criminoso, por meio da confecção de provas de ordem técnico-científica, que comprovem a
veracidade do fato, de forma a não deixar dúvida sobre as evidências investigadas.
Tal função deve-se ao fato de que o juiz, pessoa dotada de grande conhecimento
jurídico, não dispõe de grande saber científico, o que torna obrigatório a presença dos
Peritos, profissionais detentores de grande conhecimento em áreas científicas e de
confiança do juiz, o qual utilizará de seus conhecimentos para realização da perícia no
objeto questionado (indício), sendo que o resultado de seu trabalho será exposto por meio
de um laudo, o qual deve ter uma linguagem simples, mas sem omitir dados técnicos, que
possam ser compreendidos por não especialistas (BUSTAMANTE, 2006).
O perito é um profissional altamente capacitado e atualizado o qual possui a
habilidade necessária para tal tarefa, utilizando meios científicos, técnicos ou artísticos para
provar a veracidade do fato em questão elaborando após a análise de todas as evidências
um laudo técnico pericial o qual passa a ser uma das provas que compõem um processo
judicial. Um exame pericial pode consistir em perícia realizada em móveis, pessoas,
equipamentos, entre muitos outros.
O cargo de Perito Criminal é dotado de fé pública, ou seja, o que é constatado no
laudo pericial é tido como verdade, afinal o perito é uma pessoa idônea e imparcial.
De acordo com Rezende (2008),
[...] a fé pública não abriga apenas o significado de representação exata e
correta da realidade, de certeza ideológica, mas também de um sentido
altamente jurídico, ou seja, fornece evidência e força probante atribuída pelo
ordenamento, quanto à intervenção do oficial público em determinados atos ou
documentos.
O valor jurídico e a certeza implicam que a fé pública pressupõe a
correspondência da realidade, cuja firmeza é tutelada pelo Direito.
Nos casos em que um perito não possua fé pública ligada diretamente ao seu cargo,
como no caso de um perito nomeado pelo juiz ou até mesmo um perito particular, o mesmo
poderá ter seu laudo validado com fé pública através de um recurso no meio do direito a Ata
Notarial. O recurso consiste na presença de um Tabelião junto ao perito o qual irá lavrar a
ata narrando os fatos observados imparcialmente através dos seus sentidos durante a
perícia.
24
De acordo com Silva Neto (2008),
A ata notarial nada mais é do que a narração de fatos verificados pessoalmente
pelo Tabelião e compreende: Local, data de sua lavratura e hora; Nome e
qualificação do solicitante; Narração circunstanciada dos fatos; Declaração de
haver sido lida ao solicitante, e, sendo o caso, às testemunhas; Assinatura do
solicitante, ou de alguém a seu rogo, e, sendo o caso, das testemunhas e
Assinatura e sinal público do Tabelião.
O poder certificante do notário é uma faculdade que a lei lhe dá para, com sua
intervenção, evitar o desaparecimento de um fato antes que as partes o possam utilizar em
proveito de suas expectativas. A fé pública é, em todo o momento do negócio jurídico, o
caminho mais efetivo para a evidência [...]. Tudo se reduz à intervenção notarial que, com
sua presença ou sua atuação, soleniza, formaliza e dá eficácia jurídico ao que ele manifesta
ou exterioriza por instrumento público, seja este escriturado ou não. Isto se relaciona,
também, com o poder certificante do notário, o que permite às partes em forma voluntária,
escolher a forma e o modo de resolver seus negócios [...]; neste caso, como afirma Gatán, a
função notarial pode considerar-se como jurisdicional. O notário, dentro de sua ampla gama
de faculdades, logrará, com sua intervenção, estabelecer a prova preconstituída, que há de
servir de pauta legal, no momento em que seja necessário solicitá-la (YAÑES apud SILVA
NETO, 2008).
A ata notarial é um documento público e tem o mesmo valor que uma escritura pública
e tudo isso se encontra na legislação brasileira (SILVA NETO, 2008):
� Artigo 364, CPC - O documento público faz prova não só da sua formação, mas
também dos fatos que o escrivão ou o tabelião, ou o funcionário declarar que
ocorreram em sua presença.
� Artigo 217, CC/2002 - Terão a mesma força probante os traslados e as certidões,
extraídos por tabelião ou oficial de registro, de instrumentos ou documentos
lançados em suas notas.
� Artigo 223, CC/2002 - A cópia fotográfica de documento, conferida por tabelião
de notas, valerá como prova de declaração da vontade, mas, impugnada sua
autenticidade, deverá ser exibido o original.
Parágrafo único. A prova não supre a ausência do título de crédito, ou do original, nos
casos em que a lei ou as circunstâncias condicionarem o exercício do direito à sua exibição.
A Perícia Forense existe nos dois ramos básicos do direito, o penal e o cível, aqui
incluído o trabalhista. No ramo penal atua no estudo dos indícios produzidos pela prática
delituosa, seja de engenharia, ambiental, identificação de ossada, computacional, etc, e na
25
cível, em todo litígio que podem ser dirimidos por meio de estudos técnico-científicos, como
os casos de investigação de paternidade, ou seja, atua nos mais variados campos onde se
vê necessário conhecimento técnico especializado.
No meio criminal observa-se o emprego da perícia em análises balísticas, exames de
DNA, a papiloscopia que é o processo de identificação através de impressões digitais,
exames médicos e análises toxicológicas de drogas. Nos crimes ambientais podemos
observar o uso da perícia no tráfico de animais silvestres, desmatamentos, entre outros. Na
engenharia o campo de atuação é muito vasto, são cabíveis em desapropriações, usucapião,
busca e apreensões.
No mundo computacional observa-se a crescente demanda por este tipo de perícia,
com os crimes tomando novas formas e utilizando-se de novos meios, porém não deixando
de existir e sim crescendo na mesma proporção do avanço da tecnologia. Para o combate a
estes crimes é necessário um profissional que esteja em aprimoramento técnico-científico
constante. Os crimes computacionais possuem também uma área de atuação muito vasta,
como a recuperação de dados, análise de dados na internet, análise de tráfego de redes,
análise de vírus, análise de ataques entre outras muitas possibilidades.
26
6. PERÍCIA FORENSE COMPUTACIONAL
A PFC é a área da criminalística que trabalha em busca da veracidade dos fatos em
delitos realizados com uso ou através de computadores. Com o avanço da tecnologia e o
aumento destes crimes na mesma proporção torna-se cada vez mais necessário o emprego
desse tipo de perícia.
Para realizar a análise e coleta de evidências são seguidos procedimentos rígidos
para que não exista nenhuma irregularidade durante a investigação do fato, o que pode
fazer com que o juiz considere a prova inadmissível.
O processo de coleta de evidências é regido por leis, toda a evidência deve ser
autenticada, o que significa que alguma testemunha tem o dever de testemunhar sua
autenticidade. No caso da evidência digital este poderá ser um testemunho pessoal, no qual
o individuo tenha conhecimento dos elementos de prova como um perito, por exemplo.
Também existem as evidências as quais não necessitam de testemunho como documentos
públicos e publicações oficiais (SHINDER, 2002).
Existem três categorias de provas:
� Provas físicas: consiste em objetos materiais que podem ser vistos e tocados;
� Provas de testemunho direto: o depoimento de uma testemunha que pode
narrar os fatos de acordo com sua experiência pessoal através dos cinco
sentidos;
� Provas circunstanciais: não baseadas em observação pessoal, mas em
observação ou conhecimento de fatos que tendem a apoiar uma conclusão
indiretamente, mas não provam isto definitivamente.
Em casos de crimes computacionais as provas são classificadas pelas normas
SWGDE (Scientific Working Group on Digital Evidence) / IOCE (The International
Organization of Computer Evidence ) (SHINDER, 2002):
� Provas digitais: informação de valor para um processo penal que está
armazenada ou transmitida de forma digital;
� Dados objetos: consiste em objetos de valor para um processo penal o qual
está associado a itens físicos;
� Itens físicos: consiste nas mídias físicas onde a informação digital é
armazenada ou pelo qual é transmitido ou transferido.
27
Para se iniciar um processo de perícia computacional é necessário seguir
procedimentos rigorosos, visando à integridade das provas. São estes requisitos que tornam
a prova admissível em um tribunal.
Primeiramente a prova deve ser obtida de forma legal através de um mandato de
busca e apreensão. A maior parte dos profissionais que trabalham obtendo as provas
necessárias para investigação concorda com alguns princípios básicos (SHINDER, 2002):
� A prova original deve ser preservada em um estado tão próximo quanto
possível do estado em que estava quando foi encontrado.
� Se possível, uma cópia exata (imagem) do original deve ser feita, sendo que
esta será utilizada para análise de forma a não prejudicar a integridade do
original.
� A cópia dos dados deve ser realizada em uma mídia que esteja sem nenhuma
informação pré-existente, ou seja, totalmente “limpa” e verificada que a mesma
está livre de vírus e defeitos.
� Todas as evidências devem ser etiquetadas, documentadas e preservadas, e
cada passo da análise forense deve ser documentado em detalhes.
Os primeiros a chegar a cena do crime devem tomar algumas precauções para que se
possa garantir a integridade das evidências, tentando não modificar, desligar equipamentos
ou obter provas, a menos que os mesmos sejam treinados em forense computacional, afinal,
muitos criminosos podem deixar cavalos de tróia e outros mecanismos que programem a
destruição das provas do equipamento, assim que sejam desligados ou manipulados
incorretamente. Os primeiros a chegar a cena do crime devem se preocupar com
(SHINDER, 2002):
� Identificar a cena do crime: Verificar a extensão da cena do crime e definir
um perímetro. Isso pode incluir desde uma sala, várias salas ou ainda edifícios
inteiros se o suspeito estiver atuando em uma complexa configuração de
computadores em rede.
� Proteger a cena do crime: quando se pretende obter evidências digitais todos
os equipamentos laptops, notebooks, desktops, PDA’s (Personal Digital
Assistant) entre outros devem ser protegidos. Estes itens podem ser limitados
devido ao mandado mas até que o investigador do caso chegue não deve ser
descartado nenhum equipamento.
� Preservar as evidências frágeis e temporárias: no caso de evidências que
possam desaparecer antes dos investigadores chegarem, como informações
28
sendo exibidas no monitor e mudando constantemente, os primeiros a chegar
ao local do crime devem tomar quaisquer medidas possíveis para preservar ou
gravar estas evidências. Se uma câmera estiver disponível, fotos devem ser
tiradas e na ausência desta os presentes na cena do crime devem tomar notas
detalhadas e estarem dispostos a testemunharem em um tribunal, sobre o que
foi observado na cena do crime.
Os investigadores ao chegarem a cena do crime podem se deparar com uma equipe já
trabalhando na mesma, porém, a partir deste momento os mesmos devem ser coordenados
pelo investigador policial, o qual também desempenha o seguinte papel (SHINDER, 2002):
� Estabelecer a cadeia de comando: o investigador sênior deve garantir que
todos estão cientes da cadeia de comando e as decisões importantes são
filtradas por ele. Computadores e demais equipamentos não devem ser
desligados ou manuseados sem instruções diretas do investigador sênior. Se o
investigador a cargo da investigação precisar deixar a cena do crime deve
designar um membro da equipe para que fique em seu lugar e também manter
contato freqüente com este durante toda sua ausência.
� Conduzir a pesquisa na cena do crime: deve direcionar a pesquisa e análise
das evidências na cena do crime, se o mandado de busca permitir deve-se
verificar todo o hardware, software, manuais, notas escritas e tudo que se
relacione ao uso dos equipamentos como computadores, notebooks, scanners,
PDA’s, disquetes, CD’s (Compact Disk), DVD’s (Digital Vídeo Disk), fitas,
discos removíveis e todos os demais discos que possam ser vistos ao redor.
� Manter a integridade da evidência: os investigadores devem continuar a
proteger as evidências, como a preparação para preservar evidências voláteis,
duplicando os discos e desligando os sistemas corretamente. O investigador
deve supervisionar todas as ações técnicas na cena do crime e transmitir todas
as considerações que devem ser tomadas com base na natureza do caso e
conhecimento do suspeito.
De acordo com Shinder (2002, p. 554),
Os técnicos em crimes informáticos devem ser treinados em computação
forense possuindo uma sólida experiência na área de tecnologia computacional,
conhecer como discos são estruturados, como trabalha o sistema de arquivos e
como e onde os dados são gravados.
29
Geralmente os técnicos em crimes informáticos ou peritos em crimes informáticos, são
responsáveis pelo seguinte (SHINDER, 2002):
� Preservar evidências voláteis e duplicar discos: informações que estão na
memória do equipamento, processos sendo executado, duplicar discos antes
de desligar o equipamento.
� Desligar sistemas para transporte: desligar o equipamento de forma correta
é muito importante para que se possa garantir à integridade da prova em
alguns métodos a forma correta é encerrar todos os programas e desligar o
computador normalmente, em outros se desliga o equipamento tirando o cabo
de energia para evitar que algum programa destrua os dados durante o
processo de desligar o equipamento normalmente. Este último método não
deve ser adotado em sistemas baseados em UNIX, já que este procedimento
pode danificar dados, alguns profissionais indicam mudar de conta de usuário
através do comando su se a senha do usuário root for conhecida e utilizar o
comando halt antes de desligar o equipamento.
� Etiquetar e anotar as evidências: todas as provas devem ser marcadas com
as iniciais do técnico ou perito, hora e data em que foi coletada, número do
processo e dados de identificação.
� Embalar os elementos de prova: evidências digitais, principalmente as que
possuem circuitos expostos como discos rígidos, devem ser embalados em
sacos antiestáticos para o transporte. Documentos e manuais devem ser
embalados em sacos plásticos ou protegidos de outra forma.
� Transportar os elementos de prova: todas as evidências devem ser
transportadas o mais rápido possível para sala de armazenamento de provas.
Durante o transporte as evidências não devem entrar em contato com campos
magnéticos (inclusive rádios policiais ou equipamentos eletrônicos no veículo),
ficar expostas ao sol ou em locais com temperatura acima de 24º C.
� Processar os elementos de prova: a partir da cópia realizada dos discos
deve-se realizar a perícia no equipamento através de ferramentas forenses.
Atualmente as técnicas utilizadas pela PFC atentem aos requisitos necessários para
que se consiga a evidência e a veracidade dos fatos de forma íntegra, porém o conceito de
realizar uma cópia do conteúdo da memória ainda não é um procedimento padrão não
sendo adotado usualmente.
30
7. TÉCNICAS DE PERÍCIA FORENSE
Independente da área em que será realizada a pericia será necessário utilizar técnicas
que possam tornar possível a análise dos elementos de prova. As técnicas empregadas
atualmente são de grande auxílio e tornam possível observar a veracidade aos fatos.
Para cada tipo de análise existe uma técnica específica a qual torna possível através
de analises identificar e evidenciar a veracidade dos fatos.
7.1. Confronto microbalístico
No local de um crime onde foram efetuados disparos com arma de fogo o trabalho da
perícia é coletar as evidências destes disparos, ou seja, projéteis, armas e cápsulas para
realizar posteriormente a análise das evidências e descobrir de que arma foram realizados
os disparos. Para isso é utilizada a técnica de confronto microbalístico ou balístico a qual
tem como objetivo identificar a arma que realizou o disparo de determinado projétil.
Exames em armas de fogo podem demonstrar se a mesma é mecanicamente
funcional ou se poderia ser realizada um disparo não intencional, para isso são realizados
exames no gatilho para que possa identificar a pressão necessária para realizar o disparo,
para isso são identificadas as características microscópicas dos projéteis (FBI, 2003).
Os projéteis examinados são chamados de projétil incriminado e projétil padrão. O
projétil incriminado é aquele que foi encontrado na cena do crime ou corpo da vítima, e o
projétil padrão é o projétil obtido através de disparo em ambiente de laboratório, onde será
efetuada posteriormente o confronto microbalístico.
Para Sato (2003, p. 26), para que se possa compreender de melhor forma o confronto
microbalístico é ”[...] necessário conhecer a munição de arma de fogo e os fenômenos
envolvidos durante o disparo.”
No momento do disparo ocorre o que é chamado de Dinâmica de Tiro, onde ocorrem
quatro fases em uma fração de segundo (ZARZUELA, 1996):
� 1 – Fase mecânica: onde ocorre a percussão da cápsula de espoletamento que
contém a mistura iniciadora;
� 2 – Fase química: neste ponto ocorre a reação de detonação da mistura
iniciadora seguida da reação de deflagração da pólvora;
� 3 – Fase física: esta fase é representada pelos gases formados no interior do
estojo, sob elevada pressão e temperatura
� 4 – Fase mecânica: aqui ocorre o desalojamento do projétil do estojo, o
encaminhamento à culatra, passagem pelo cano e saída pela “boca” em
direção ao alvo, segundo uma trajetória.
31
Na Figura 9 observa-se que o cartucho de arma de fogo é composto por quatro partes:
projétil, estojo (ou cápsula), o propelente (ou pólvora) e a espoleta (SATO, 2003).
Figura 9: Cartucho de munição de arma de fogo (SATO, 2003)
O projétil atravessa o cano da arma e atinge o alvo, para isso a força com que
o mesmo é acelerado dentro do cano da arma é proveniente da pólvora, pois a
queima da pólvora gera grande quantidade de gás, aumentando a pressão interna e
o projétil é empurrado para frente. Para que a pólvora queime é necessário que haja
uma chama iniciadora, a qual é fornecida pela espoleta que contém uma pequena
quantidade de explosivo sensível ao choque mecânico, ou seja, detona com
percussão. A cápsula (ou estojo) é o recipiente que contém o projétil na ponta, a
pólvora dentro e a espoleta na base (SATO, 2003).
A Figura 10 demonstra como o cartucho fica alojado na câmara pronto para
ocorrer o disparo.
32
Figura 10: Cartucho na câmara pronto para o disparo (SATO, 2003).
O que torna possível o confronto microbalístico é o contato da superfície lateral
do projétil durante o disparo com a superfície interna do cano da arma de fogo o qual
produzirá marcas e micro-estriamentos sobre a superfície do projétil, marcas estas
macroscópicas e microscópicas. Estas marcas são únicas, ou seja, estas marcas só
podem ser geradas pela mesma arma nunca por outra (SATO, 2003).
Para realizar a comparação balística a arma apreendida é manuseada e
preparada em ambiente de laboratório para que possa efetuar os disparos
experimentais.
De acordo com Zarzuela (1996, p. 40),
Na prática rotineira dos Institutos de Criminalística do país, para proceder-se à
identificação individual de uma arma de fogo, realizam-se tiros experimentais
em desaceleradores como água, cinzas, serragem, algodão, glicose etc.
Após os disparos experimentais os projéteis experimentais são comparados
com a evidência lado a lado por um microscópio com câmera fotográfica acoplada
podendo verificar pequenas áreas de um projétil mesmo que bastante deformado
devido ao impacto.
A Figura 11 mostra a superfície lateral de dois projéteis disparados pela mesma
arma e comparados por microscópio.
33
Figura 11: Comparação microbalística de projéteis (SATO, 2003).
Os cartuchos também podem ser verificados microscopicamente em busca de
evidencias que comprovem que o mesmo foi marcado por determinada arma de fogo
(FBI, 2003).
A cápsula da munição também adquire marcas da arma, quando o percurtor se
choca contra a espoleta, deixando marcas no local do contato e também a queima
de pólvora que aumenta a pressão interna do cartucho faz com que o mesmo seja
empurrado para trás, chocando-se com a culatra, fazendo com que o mesmo tenha
as imperfeições da culatra impressas na base o cartucho, observadas na Figura 12 e
Figura 13 (SATO, 2003).
Figura 12: Cápsulas percutidas pela mesma arma apresentando marcas da culatra em forma de linha paralela (SATO, 2003).
34
Figura 13: Confronto das marcas de culatra estampadas à esquerda do sinal de percussão. As setas indicam que as marcas coincidem em ambas as cápsulas (SATO, 2003).
Este mesmo procedimento se aplica a instrumentos como alicates, chaves-de-
fenda, etc. O que se faz é sempre comparar as marcas deixadas (SATO, 2003).
7.2. Papiloscopia
A papiloscopia é a técnica utilizada para identificação humana através de
impressões digitais, coleta de fragmentos em locais de crimes ou acidentes, análise
de retratos falados. Para isso através de reveladores papilares tornam possíveis as
identificações.
De acordo com Zarzuela (1996, p. 78),
Reveladores, sob o ponto de vista genérico, são substâncias puras ou misturas
capazes, física ou quimicamente de tornar visíveis impressões papilares
latentes. [...] São reveladores de impressões papilares latentes as substâncias
químicas ou meios idôneos capazes de torná-las visíveis sem que ocorra reação
química entre o revelador e os produtos de perspiração.
Para realizar a coleta de impressões digitais é necessário que a cena do crime
esteja intacta, ou seja, sem nenhuma modificação garantindo a integridade das
evidências. Devem ser seguidos procedimentos que preservem a evidência (FBI,
2003):
� Fotografar impressões latentes antes de qualquer tratamento;
� Examinar todas as evidências visuais com uma luz laser ou outra fonte
luminosa antes de usar qualquer outro processo de identificação latente;
� Quando utilizar processos para obter impressões latentes, consultar as
instruções do fabricante e as fichas de segurança. Usar equipamento de
proteção individual (por exemplo, óculos de segurança, máscaras, luvas,
etc);
35
Para se obter as impressões latentes de uma cena de crime podem ser
utilizados reveladores compostos de várias substâncias químicas puras ou misturas
(ZARZUELA, 1996).
Estas substâncias químicas ou misturas funcionam como ferramentas que
tornam possível obter as provas, como procedimentos que garantem a integridade
da evidência, fazendo com que a mesma seja aceita em um tribunal pelo juiz.
7.3. Análise de memória
Os dados contidos na memória do equipamento são tidos como dados voláteis,
ou seja, dados que dependem da energia elétrica para existirem, pois assim que a
energia faltar ou o equipamento for desligado estes dados deixam de existir.
De acordo com o IEEE (Institute of Electrical and Electronics Engineers) devem ser
coletados primeiramente os dados mais voláteis, porém a coleta dos dados voláteis
apresenta um problema já que este procedimento altera o estado do sistema, ou
seja, o conteúdo da memória e alguns especialistas recomendam que os peritos em
computação capturem dados de processos em execução, estado da rede e um
“dump” dos dados da memória, ou seja, uma cópia do conteúdo da memória. Todas
as operações realizadas durante o processo de investigação do equipamento devem
ser documentadas. Para este tipo de análise podem ser utilizados comandos como
netstat, ipconfig, ifconfig (no Linux), arp, etc, desde que os mesmos sejam todos
documentados (SHINDER, 2002).
A análise de memória é uma forma de se pesquisar o que esta ocorrendo no
equipamento no exato momento em que o mesmo esta em operação, pois os
processos em execução alocam espaços na memória para que possam ser
executados no equipamento. Isso torna possível análise de malwares, vírus, ou seja,
os programas em execução, este tipo de análise é denominado com análise
dinâmica.
De acordo com Farmer e Venema (2007, p. 103),
Com a análise dinâmica, estudamos um programa à medida que ele executa. [...]
A análise dinâmica tem a vantagem da velocidade. Mas ela tem a desvantagem
de que “o que você vê é tudo o que você obtém”. [...] é impossível fazer com
que um programa não trivial percorra todos os caminhos no seu código.
A forma mais simples de se descobrir como um programa se comporta é
executá-lo e observar o que acontece, porém este procedimento pode comprometer
36
toda a investigação afinal o programa pode vir a destruir todas as informações do
equipamento.
Para executar este programa seria mais seguro que o mesmo fosse executado
em um ambiente onde o mesmo não pudesse causar grandes danos, um ambiente
controlado, ou como adotado pela balística executar em uma caixa de areia, este
termo é emprestado da balística, pois os peritos em balística efetuam disparos de
testes em caixas de areia fazendo com que os projéteis não causem nenhum dano
(FARMER e VENEMA, 2007).
Como nas perícias de armas de fogo e papiloscopia, na computação são
utilizadas ferramentas para auxiliar o desenvolvimento da investigação bem como
para obter a veracidade dos fatos, estas ferramentas são softwares específicos para
este fim.
37
8. FERRAMENTAS DE PERÍCIA COMPUTACIONAL
As ferramentas para PFC são muito diversas, sendo definido pelo profissional
que realizará a análise qual é a mais adequada para cada caso. Dentre tantas
ferramentas podem-se identificar ferramentas para recuperação de dados, análise
de memória, engenharia reversa, análise de dados em uma rede entre muitas outras.
8.1. Ferramenta Helix
Este trabalho aborda uma ferramenta de uso gratuito disponível na internet o
Helix (http://www.e-fense.com/helix/) e algumas outras opções de ferramentas.
A ferramenta Helix é uma ferramenta que possui opções para recuperação de
dados, listagem de processos, análise de memória, recuperação de credenciais de
acesso como logins e senhas, cookies entre diversos outros itens importantes
durante uma análise pericial.
O Helix executa a partir de um CD, pode tanto ser executado com o
computador ligado como pode ser utilizado de forma inicializável, ou seja, pode ser
iniciado ao ligar o computador, onde é carregado no equipamento sua versão em
Linux, onde se pode utilizar as ferramentas disponíveis para análises dos casos e
alguns programas que não estão disponíveis em sua versão Windows, como o
Autopsy.
A Figura 14 mostra o Helix em execução a partir do CD no ambiente Windows,
a partir desta janela do programa é possível executar os programas disponíveis para
realizar a análise forense.
Figura 14: Ferramenta Helix
38
Estas ferramentas são indispensáveis e contribuem imensamente na solução
dos casos, agilizando o processo de investigação e garantindo a integridade da
análise desenvolvida pelo profissional.
Através do Helix é possível descobrir quais aplicativos estão sendo executados
no momento em que a perícia no equipamento é realizada, isso é de grande
importância no caso de o que se esteja procurando é um malware, tornando possível
uma análise no aplicativo através de ferramentas que possibilitam descobrir o que
este aplicativo faz e como ele se comporta, buscando um entendimento mais
profundo, o que também consome um tempo maior de investigação. Na Figura 15 é
possível observar a listagem dos aplicativos que estão executando no momento da
perícia pela ferramenta.
Figura 15: Listagem dos aplicativos executando
8.2. Ferramenta Helix e DD
Para se coletar os dados da memória com o Helix é necessário uma ferramenta
chamada “DD” que está inclusa no CD do Helix, esta ferramenta torna possível
39
realizar um dump da memória, ou seja, realizar uma cópia do conteúdo da memória. A
Figura 16 demonstra onde esta a ferramenta, deve-se selecionar a opção
“\\.\PhysicalMemory” em seu campo “Source” após selecionar esta opção é
necessário informar onde o arquivo gerado deverá ser gravado, para evitar maiores
alterações no conteúdo do HD (Hard Disk) do equipamento este arquivo deve ser
gravado em uma mídia diferente do mesmo, ou seja, um pen drive ou HD externo ou
outro computador através da opção “NetCat”, a qual torna possível enviar este
arquivo pela rede a um equipamento que esteja executando o “NetCat”, para isto
basta informar o endereço IP (Internet Protocol) do computador remoto e a porta
utilizada para a comunicação. Após estas opções selecionadas é necessário clicar no
botão “Acquire”.
Figura 16: Ferramenta para recuperar o conteúdo da memória
Após o arquivo “image.dd” ser gerado este arquivo pode ser analisado através
de ferramentas que possibilitem visualizar o conteúdo do arquivo.
40
Live Acquisition é a forma de se obter uma imagem do computador quando o
mesmo está ligado, afinal o equipamento que esta sendo auditado pode ser um
servidor que não pode ser desligado.
Live Analysis é utilizada quando o profissional evita desligar o equipamento
devido ao receio de perder dados importantes para a investigação, ou seja, os dados
voláteis, neste caso é realizada a captura do conteúdo da memória do computador e
se faz necessário uma Ata Notarial.
8.3. Ferramenta Volatility
A ferramenta Volatility é capaz de analisar o conteúdo coletado da memória de
um computador. Esta ferramenta é gratuita e pode ser obtida através de um
download, é necessário também que seja instalado previamente no computador que
executará a ferramenta o Python na sua versão mínima 2.5.
Através de comandos no prompt do MS-DOS (MicroSoft Disk Operating System) é
possível analisar o arquivo “image.dd” gerado anteriormente pela ferramenta “DD”.
É possível através destes comandos obter os processos que estão em execução na
memória do equipamento, arquivos utilizados, conexões entre outras diversas
informações. A Figura 17 mostra como é possível através do comando “python
volatility pslist –f d:\tst\image\image.dd” obter a listagem dos processos em execução
na memória, sendo possível observar também as identificações de PID (Process ID)
dos processos e a data e hora em que foram iniciados.
41
Figura 17: Listagem dos processos pela ferramenta Volatility Após listar os processos em execução na memória é possível obter o arquivo
executável com o comando “python volatility procdump –m disk –p 1700 –f
d:\tst\image\image.dd”, o arquivo executável será gravado no diretório onde esta
sendo executado o Volatility e pode ser posteriormente analisado com uma
ferramenta desassembler, possibilitando investigar o que o programa faz.
Também é possível obter as conexões que estavam estabelecidas no
equipamento quando a memória foi coletada. Para isso basta utilizar o comando
“python volatility connections –f d:\tst\image\image.dd”, conforme a Figura 18 mostra.
Figura 18: Relação das conexões ativas pela ferramenta Volatility
42
O conteúdo deve ser analisado da forma que se encontra pelo perito, a análise
pode levar um bom tempo, porém pode trazer dados muito importantes para a
investigação.
Existem diversas ferramentas algumas pagas e outras sem nenhum custo,
entre as ferramentas pagas uma das mais destacadas é a ferramneta EnCase
(http://www.guidancesoftware.com/products/ef_index.asp), a qual é uma solução
muito completa e com muitos recursos e também as ferramentas F-Response
(http://www.f-response.com), esta última com a proposta de realizar a análise de
memória remotamente somente apenas como leitura, ou seja, é realizado um
acesso remoto ao computador investigado apenas lendo o conteúdo da memória
sem nenhuma escrita.
8.4. Os perigos da análise de memória online
A análise de memória online, ou seja, enquanto o equipamento está ligado e
com processos em execução pode ser muito vantajosa, pois através dela pode-se
obter um conteúdo muito precioso para a investigação. Porém, esta análise é um
tanto quando perigosa já que um atacante pode utilizar métodos anti-forenses.
De acordo com Branco e Balestra (2008, p. 28)
Quando um auditor se depara com um ambiente completamente hostil, (por
exemplo, quando a máquina auditada é propriedade de um criminoso) sabe-se
que a memória do sistema pode ser realmente importante (principalmente
porque existem muitos arquivos do sistema criptografados [...]).
Um atacante que possua um rootkit adequado, ou seja, um conjunto de
ferramentas adequadas pode realizar diversas modificações na memória do
equipamento até mesmo provocando uma limpeza dessa memória antes do perito
realizar um dump do conteúdo, ou seja, uma cópia do conteúdo da memória o que
poderia comprometer toda as evidências contidas na memória.
Cada rootkit tem uma forma diferente de ocultar a presença de um malware,
fazendo assim com que para cada caso seja adotada outra forma de se efetuar a
detecção da presença do rootkit mesmo que seja uma pequena diferença na forma
de esconder a presença do programa (FARMER e VENEMA, 2007).
43
9. CONCLUSÃO
Assim como na perícia forense convencional a perícia forense computacional
deve se adequar a cada dia buscando novas formas de se obter as evidências
necessárias para a investigação dos crimes, já que existe uma crescente demanda
dos crimes realizados com o uso de computadores e pela internet.
Como nos casos de perícia microbalística onde a arma é manuseada para
efetuar o disparo em ambiente de laboratório, assim por dizer modificando o seu
estado desde a apreensão e para a coleta de impressões digitais, em sua forma
latente são utilizados elementos químicos como ferramentas que tornam possível a
coleta destas evidências. O que se observa é que é possível a coleta do conteúdo
da memória do equipamento no momento da apreensão e após realizar a perícia
através de ferramentas que podem obter os dados contidos na memória do
equipamento.
Como mostrado neste trabalho existem ferramentas que tornam possível a
coleta dos dados contidos na memória do equipamento, porém para que a evidência
seja aceita em um tribunal como prova válida de um crime é necessário que o
procedimento desde sua coleta até sua perícia não tenha falhas. Para isso o
profissional que realizar a perícia deve estar certo de que o procedimento realizado
é o mais adequado para cada caso. Ainda para contribuir muito para que esta
evidência seja aceita existe a Ata Notarial, um recurso que muitas vezes é
esquecido pelos profissionais, por exemplo, em um caso que envolva um risco
grande de ser invalidado durante o processo de coleta das evidências.
44
10. REFERÊNCIAS BIBLIOGRÁFICAS
ARAS, Vladimir. Crimes em informática. Disponível em: <http://www.informatica-juridica.com/trabajos/artigo_crimesinformticos.asp>. Acesso em: 28 de mar. 2008. BRANCO, R. R.; BALESTRA, F. A. Kernel Hacking & Anti-forensics: Evading Memory Analysis. Hackin9, maio de 2008. Disponível em: <http://www.kernelhacking.com/rodrigo/docs/AntiForense.pdf>. Acesso em: 07 de nov. 2008. BUSTAMANTE, Leonardo. Computação Forense: Novo campo de atuação do profissional de informática. Disponível em: <http://imasters.uol.com.br/artigo/4288/forense/computacao_forense_-_novo_campo_de_atuacao_do_profissional_de_informatica>. Acesso em: 02 de jun. de 2008. ELEUTÉRIO, Fernando. Análise do conceito de crime: Disponível em: <http://www.uepg.br/rj/a1v1at09.htm>. Acesso em: 20 de fev. 2008. FARMER, D.; VENEMA, W. Perícia forense computacional: Teoria e prática aplicada. Tradução Edson Furmankiewicz, Carlos Schafranski, Docware Traduções Técnicas. São Paulo: Pearson Prentice Hall, 2007. Título original: Forensic Discovery. FBI. Handbook of Forensic Science, Revised 2003. Disponível em: <http://www.fbi.gov/hq/lab/handbook/forensics.pdf>. Acesso em: 08 de nov. de 2007. NOGUEIRA, José Helano Matos. A nova face do crime. Revista Perícia Federal. Ano III nº 9, julho 2001. REZENDE, A. C. F. Sobre a Fé Pública. Disponível em: <http://www.irib.org.br/biblio/Rezende.asp>. Acesso em: 07 de jun. de 2008. SATO, Eduardo Makoto. O que é e como funciona o confronto microbalístico?. Revista Perícia Federal. Ano IV nº 15, Setembro/Outubro de 2003. SECURITYFOCUS, S. G. Masood. Malware Analysis for Administrators: Disponível em: <http://www.securityfocus.com/infocus/1780 >. Acesso em: 08/11/2007. SHINDER, Debra Littlejohn. Syngress Scene of Cybercrime: Computer Forensics Handbook. Rockland: Syngress Publishing, Inc, 2002. SILVA NETO, Amaro Moraes e. A Importância da Ata Notarial para as Questões Relativas ao Ciberespaço. Disponível em: <http://www.buscalegis.ufsc.br/arquivos/ciberespa%E7o.pdf>. Acesso em: 01 de set. de 2008. U.S. Departament of Justice, Federal Bureal of Investigation. Handbook of Forensic Science, 1994. ZARZUELA, José Lopes. Temas fundamentais de criminalística. Porto Alegre: Sagra – Luzzatto, 1996. ZILLO NETO, Marcello. Segurança da Informação e Tecnologia: Disponível em: <http://mzillo.blogspot.com/>. Acesso em: 08 de nov. de 2007.
