Computação Forense
Carlos Andre Viganó Ferrari
Daniel Alvarenga Campos
Jorge Aluísio Tescaro
Mauri Carvalho
RA
RA
RA
RA
03134772
03147337
05004734
03127412
Introdução

A cada dia que passa o computador se
torna mais presente na vida das pessoas.
Processando todo tipo de informação e
tendo sua velocidade crescendo em um
ritmo cada vez mais rápido, ele é uma
ferramenta cada vez mais necessária no
planejamento e na execução de tarefas
tanto profissionais, quanto pessoais,
proporcionando níveis de produtividade e
interatividade, antes, inimagináveis.
2

Porém, juntamente com a facilidade
criada, surgiram novas formas de crimes,
tanto planejados, quanto executados no
mundo virtual. Tais crimes fizeram surgir a
necessidade de criar uma nova
modalidade de computação, visando evitar
tais delitos antes mesmo que ocorram e
poder rastrear e punir pessoas que
utilizam desta ferramenta para estes fins,
a computação forense.
3

Segundo o Departamento de Polícia Técnica
(DPT), a definição da coordenação da
computação forense seria: “A Coordenação de
Computação Forense realiza atividades e perícias
relativas aos crimes de informática, tais como
fraudes contra a administração pública,
rastreamento de ameaças feitas via Internet,
pedofilia, invasão de sistemas, quebra de
privacidade de dados e outros. Promove a
realização de exames em equipamentos de
informática em busca de evidências e provas de
crimes das mais diversas naturezas. Promove
ainda, perícia em crimes contra o consumidor no
que tange a hardwares e softwares, recuperação
de conteúdo em discos rígidos e mídias de
backup relacionados com destruição de provas de
crimes.”.
4
Legislação


O Código Processual Civil estabelece em seu art.
332 que podem ser admitidos como prova "Todos
os meios legais, bem como os moralmente
legítimos, ainda que não especificados neste
Código, são hábeis para provar a verdade dos
fatos, em que se funda a ação ou a defesa."
Isso pode nos levar a crer que os ambientes
computacionais oferecem vestígios para a busca
da verdade, e não serão considerados a menos
que sofram exame direto. Isso indica que o
profissional em forense computacional, quando
convocado e devidamente habilitado, deverá
examinar o ambiente na busca de evidências
para análise e confecção do laudo.
5

Primeiramente, é importante salientar que
documento, em Direito, não é somente o
papel escrito e assinado. Luiz Rodrigues
Wambier (1) nos ensina: “conceitua-se
documento como todo objeto capaz de
“cristalizar” um fato transeunte, tornandoo, sob certo aspecto, permanente”.
Consideramos documento todo objeto que
representa, por meio de alguma
linguagem, de forma permanente ou
temporária, um fato da vida real, uma
manifestação de pensamento.
6



São documentos: a fotografia, gravação de
imagem e/ou som em fitas magnéticas (K-7 ou
VHS), pinturas em quadros ou telas, esculturas,
livros, dentre outros.
E documento eletrônico é aquele “que se
encontra memorizado em forma digital, não
perceptível para os seres humanos senão
mediante intermediação de um computador. Nada
mais é do que seqüência de bits, que, por meio
de um programa computacional, mostrar-nos-á
um fato”, nas palavras de Gandini, Salomão e
Jacob.
Assim sendo, são documentos eletrônicos os emails, as fotos e filmes digitais, as páginas de
Internet, as planilhas eletrônicas e tudo mais que
se possa fazer com a linguagem binária (ou
outras), de modo a expressar ou representar
determinado fato da vida real.
7
E-mail como prova documental


Duas iniciativas legislativas recentes contribuem
para fortificar ainda mais o envio de uma
mensagem eletrônica como prova jurídica. O
Projeto de Lei 7.316/02, do Instituto de
Tecnologia e Informação (ITI), que irá substituir a
Medida Provisória 2.200/01, sobre a certificação
digital, faz com que documentos assinados
eletronicamente ganhem o mesmo valor jurídico
de um documento de papel.
Outro projeto de lei, de nº 6.693/06,
apresentado pela senadora Sandra Rosado (PSBRN), também propõe validar as mensagens de
correio eletrônico como prova documental.
8


No entanto, a validação jurídica de e-mails
já é um serviço disponível a internautas e
empresas desde 2003. Um serviço
interessante, o Comprova.com, é um
serviço de e-mail que funciona como uma
carta registrada na internet.
O serviço agrega às mensagens de e-mail
um selo, emitido pelo Observatório
Nacional, órgão do Ministério da Ciência e
Tecnologia, que é um comprovante oficial
do conteúdo e da hora em que o
documento foi enviado e recebido. Além
disso, o Comprova.com faz uma espécie
de perícia digital no envio das mensagens,
atesta que o e-mail foi efetivamente
entregue na caixa postal do destinatário.
9
Técnicas para a coleta de provas

Alguns dos procedimentos para coleta de
evidências:
- Estabeleça políticas que permitam admissibilidade dos
dados coletados.
- Documente as causas para iniciar o exame.
- Documente todo o ambiente a ser analisado, incluindo
instalações físicas.
- Colete dados voláteis. Lembre-se de, em princípio, não
desligar os equipamentos.
- Colete dados persistentes e documente cada passo.
- Gere códigos hash para cada arquivo suspeito encontrado
no(s) disco(s). Exemplo: MD5
10

Os vestígios devem ser procurados
em todas as fontes possíveis e
relevantes, observando a ordem de
volatilidade das mesmas. Eis
algumas fontes de informação:
.
.
.
.
.
.
.
.
Setor de inicialização
Sistema de arquivos
Arquivos de log
Espaços não utilizados no disco
Arquivos temporários
Área de swap
Memória
Periféricos
11

Dependendo do caso em que for
atuar, as possibilidades são bastante
variadas. Inicialmente o perito deve
procurar a resposta para cinco
questões:
01.
02.
03.
04.
05.
Quando?
Onde?
Como?
Por quê?
Quem?
12
Esteganografia


Esteganografia é o estudo e uso de técnicas para
ocultar a existência de uma mensagem dentro de
outra. Ao contrário da criptografia, que procura
esconder a informação da mensagem, a
esteganografia procura esconder a existência da
mensagem.
A esteganografia está presente em nossas vidas
mais do que possamos imaginar. Pegue qualquer
cédula monetária em sua carteira ou mesmo um
documento de identificação e poderá verificar que
existem inúmeras mensagens escondidas. Muitas
destas mensagens só poderão ser vistas a olho
nu com auxílio de equipamentos, lentes,
reagentes químicos, ou fotorreagentes.
13
Recuperação de Dados


A reconstrução dos arquivos a partir do sistema
operacional é um dos principais conhecimentos
necessários ao examinador forense. Arquivos também
são danificados a partir de vírus, setores ilegíveis,
desligamento indevido, encerramento de aplicação de
forma incorreta ou qualquer outro evento que torne o
arquivo inacessível.
Nem todos os arquivos sempre poderão ser
recuperados integralmente. Dependendo de fatores
como tipo, tamanho, data de exclusão, utilização do
disco dentre outros, a recuperação se torna mais
difícil. No entanto, as ferramentas estão cada vez
mais aprimoradas e hoje é possível realizar um exame
ou simplesmente recuperar seus arquivos usando
ferramentas gratuitas. Vale lembrar que há diferenças
entre ferramentas de recuperação de disco e de
arquivos.
14
Ferramentas

F. I. R. E. – First and Incident Response Environment
Talvez fosse um dos kits mais usados no mundo. Traz em
um CD, “bootável”, uma coleção de softwares capazes de
coletar evidências em diversos ambientes computacionais.
No entanto, já faz um bom tempo que não sofre
atualizações e, a medida do surgimento de novas versões
de sistemas operacionais e aplicativos, se tornou um kit
aquém de sua proposta inicial.
Embora o projeto não sofra atualizações, seus 196 pacotes
são de bastante utilidade, distribuídos em softwares
baseados em licenças públicas ou equivalentes. Para
preparar seu próprio kit, entre no site do projeto cujo
endereço é http://fire.dmzs.com,
15

EnCase® Forensic
O EnCase (www.encase.com) é uma ferramenta que desde
1998 é a preferida entre os examinadores. Suas
características não invasivas realizam uma perícia sem
alteração da evidência além de propiciar vários relatórios
detalhados do conteúdo periciado. Possui suporte a diversos
tipos de tabelas de alocações de arquivos como FAT, NTFS,
HFS e CDFS, permitindo o exame na maioria dos sistemas
operacionais.
Mesmo sabendo que o uso de uma ferramenta não substitui
o conhecimento científico, a cada dia surgem ferramentas
que permitem ao examinador a otimização de seu trabalho
e, segundo o fabricante do EnCase, o uso desta ferramenta
ajuda a reduzir o tempo de investigação em até 65%.
Diria que é uma ferramenta perfeita para localização de
arquivos excluídos e de acessos a caixa postais de
programas como Outlook e Notes.
16
Casos Reais

Em maio de 1999, Sharon Guthrie, de 54 anos, morre
afogada na banheira de sua casa em Dakota, EUA [1]. A
autópsia revelou que foi encontrada a droga Temazepan,
usada para auxiliar o sono. Seu marido, o pastor Willian
Guthrie, foi quem indicou o medicamento a sua esposa.
Porém este fato, por si só, não é convincente o suficiente
para acusá-lo como culpado. Com isso, a polícia contratou o
perito em computação científica, Judd Robbins, para
examinar os computadores utilizados pelo pastor na igreja.
Após alguns dias de análise, foi descoberto que o acusado
tinha pesquisado na internet sites que explicavam como
matar de forma eficaz e indolor incluindo o uso do
Temazepan. Repetidas consultas como “acidentes na
banheira” e “acidentes domésticos” também foram
identificadas no histórico do computador usado por Guthrie.
Esse fato foi essencial para o júri considerar Willian Guthrie
como culpado.
17

Um corretor de imóveis foi condenado por
homicídio tendo como meio de prova um laudo
pericial que indicava a localização do suspeito no
momento do crime.
A estação rádio-base (Erb) — ou antena de
celular — detectou a presença do aparelho do
corretor próximo da cena do crime, no mesmo
horário o que contrariava o depoimento do
suspeito que dissera estar em um outro lugar. O
sinal foi captado pela antena e, a partir do ponto
em que se encontrava o celular, foi realizado o
cálculo sobre sua localização. A margem de erro,
nesses casos, é de aproximadamente cem
metros. Claro que este não foi o único fator para
o indiciamento do corretor. Entretanto, a prova
circunstancial apresentada ajudou a influenciar o
júri a condená-lo por seis votos a um, pois o
rastreamento de celular se enquadra como prova
científica desde que seja obtido através de
18
autorização judicial.
Formação do profissional de
Forense Computacional


EUA
-ACFE - Association of Certified Fraud Examiners
(www.acfe.com)
-EC-Council - International Council of E-Commerce
Consultants (www.eccouncil.org)
-HTCIA - High Technology Crime Investigation Association
(www.htcia.org)
-IIA - Institute of Internal Auditors (www.theiia.org)
-ISACA - Information Systems Control Association
(www.isaca.org)
-ISC2 - The International Information Systems Security
Certification Consortium (www.isc2.org)
-ISSA - International Systems Security Association
(www.issa.org)
-SANS - SysAdmin, Audit, Network, Security (www.sans.org)
Brasil
- A Módulo (www.modulo.com.br) e a Axur
(www.axur.com.br) lançaram recentemente o curso de forense
computacional. Após o curso é oferecida uma prova e os
candidatos aprovados recebem certificados com os respectivos
títulos.
19
Conclusão


"Ciência da computação tem tanto a ver com o
computador como a Astronomia com o
telescópio, a Biologia com o microscópio, ou a
Química com os tubos de ensaio. A Ciência não
estuda ferramentas, mas o que fazemos e o que
descobrimos com elas." Edsger Dijkstra
"O dever de um perito é dizer a verdade; no
entanto, para isso é necessário: primeiro saber
encontrá-la e, depois querer dizê-la. O primeiro é
um problema científico, o segundo é um
problema moral." Nerio Rojas
20
Bibliografia









BUSTAMANTE, L. Introdução à computação forense. Jun. 2006, Portal iMasters. Disponível
em:<http://imasters.uol.com.br/artigo/4175/forense/introducao_a_computacao_forense/> Acesso em: 3
set. 2008.
BUSTAMANTE, L. Verificando a integridade dos arquivos forense. Jun. 2006, Portal iMasters. Disponível
em:<http://imasters.uol.com.br/artigo/4199/forense/verificando_integridade_dos_arquivos_forense/>
Acesso em: 3 set. 2008.
BUSTAMANTE, L. Computação Forense - Novo campo de atuação do profissional de informática. Jul. 2006,
Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4288/forense/computacao_forense__novo_campo_de_atuacao_do_profissional_de_informatica/> Acesso em: 3 set. 2008.
BUSTAMANTE, L. Computação Forense - Preparando o ambiente de trabalho. Jul. 2006, Portal iMasters.
Disponível em:<http://imasters.uol.com.br/artigo/4335/forense/computacao_forense__preparando_o_ambiente_de_trabalho/> Acesso em: 3 set. 2008.
BUSTAMANTE, L. Computação Forense - Certificação e Formação. Jul. 2006, Portal iMasters. Disponível
em:<http://imasters.uol.com.br/artigo/4403/forense/computacao_forense_-_certificacao_e_formacao/>
Acesso em: 3 set. 2008.
BUSTAMANTE, L. Recuperação de Dados. Ago. 2006, Portal iMasters. Disponível
em:<http://imasters.uol.com.br/artigo/4475/forense/recuperacao_de_dados/> Acesso em: 3 set. 2008.
BUSTAMANTE, L. Esteganografia - A Arte de Esconder. Ago. 2006, Portal iMasters. Disponível
em:<http://imasters.uol.com.br/artigo/4500/forense/esteganografia_-_a_arte_de_esconder/> Acesso em:
3 set. 2008.
BUSTAMANTE, L. Logs - No rastro de evidências. Ago. 2006, Portal iMasters. Disponível
em:<http://imasters.uol.com.br/artigo/4561/forense/logs_-_no_rastro_de_evidencias/> Acesso em: 3 set.
2008.
BUSTAMANTE, L. O papel da computação forense para a autoridade policial. Set. 2006, Portal iMasters.
Disponível
em:<http://imasters.uol.com.br/artigo/4729/forense/o_papel_da_computacao_forense_para_a_autoridade_
policial/> Acesso em: 3 set. 2008.
21