Daniel Moraes da Costa R.A.

0502017 - 8 Semestre A

BOAS PRTICAS PARA PERCIA FORENSE

Jaguarina 2008

Daniel Moraes da Costa R.A. 0502017 - 8 Semestre A

BOAS PRTICAS PARA PERCIA FORENSE

Monografia apresentada disciplina Trabalho de Graduao III, do Curso de Cincia da Computao da Faculdade de Jaguarina, sob a orientao do Prof. Ms. Slvio Petroli Neto, como exigncia parcial para concluso do curso de graduao.

Jaguarina 2008

COSTA, Daniel Moraes da. Boas Prticas para Percia Forense. Monografia defendida e aprovada na FAJ em 08 de dezembro de 2008 pela banca examinadora constituda pelos professores:

__________________________________________________________________________ Prof. Ms. Slvio Petroli Neto - Orientador Faculdade de Jaguarina

__________________________________________________________________________ Prof. MS. Peter Jandl Jr. Faculdade de Jaguarina

__________________________________________________________________________ Luis Antonio Lopes da Silva Motorola do Brasil S/A

Dedico esta monografia aos meus queridos pais, Joo Geraldo da Costa e Maria O. Moraes da Costa, e meu irmo Giovani Moraes da Costa, por sempre me apoiarem e acreditarem em minhas escolhas. A todos os amigos que acreditaram em mim e me apoiaram sempre.

AGRADECIMENTOS
Primeiramente, agradeo a Deus por minha vida, sade, famlia, por me guiar pelos caminhos e sempre estar ao meu lado nas horas difceis e nunca me deixar desistir. Agradeo aos meus pais, Joo Geraldo da Costa e Maria O. Moraes da Costa, por todas as lies ensinadas, pela compreenso e dedicao em toda a minha vida. Ao meu irmo Giovani por sempre me incentivar a chegar a mais esta conquista e por acreditar em minhas escolhas. Em especial ao meu orientador Prof. Ms. Slvio Petroli Neto, pela orientao, por toda pacincia e ateno, confiana, seriedade, crticas, profissionalismo o qual se tornou um grande amigo. Agradeo imensamente ao grande profissional Marcello Zillo Neto, por aceitar me ajudar em todo este trabalho, pelo empenho e disposio, materiais, revises e crticas. Sua ajuda fez este trabalho de um sonho se tornar uma realidade. Agradeo a grande pessoa e profissional Eduardo Becker Tagliarini, por toda a ajuda, leitura, pacincia e por compartilhar muito de sua vivencia e experincia profissional comigo. Agradeo ao meu grande amigo Jos Luiz da Costa pelas dicas, crticas, sugestes, por todo o empenho e dedicao em me ajudar nesta conquista. Ao profissional Tony Rodrigues pelas dicas sobre anlise de memria e ferramentas utilizadas. A coordenao do curso e todos os professores que no decorrer de todo o curso se empenharam compartilhando o conhecimento e contribuindo imensamente para meu crescimento intelectual, pelas sugestes, crticas e dedicao. A todos os meus amigos pelos momentos de conversa, convivncia, compreenso, ajuda, companheirismo e pela troca de experincias em especial meus amigos Diego, Evandro, Pedro, Fbio, Bruno, Lawrence e Thiago. A todos que de alguma forma participaram desta minha conquista. Muito obrigado!

A luta pela verdade deve ter precedncia sobre todas as outras. (Albert Einstein)

COSTA, Daniel Moraes da. Boas Prticas para Percia Forense. 2008. Monografia (Bacharelado em Cincia da Computao) Curso de Cincia da Computao da Faculdade de Jaguarina, Jaguarina.

RESUMO
Com a evoluo das tecnologias e o uso cada vez maior da informtica na sociedade, os crimes tambm atualmente fazem uso desta tecnologia. A cada dia torna-se mais primordial a anlise de computadores pela percia forense computacional, j que muitos criminosos utilizam recursos de criptografia como mtodos anti-forenses visando assim retardar e at mesmo impedir a investigao de um equipamento. A percia forense computacional preza muito pela integridade e preservao dos dados, ou seja, nada pode ser alterado e neste caso o uso do contedo da memria seria invalidado j que o mesmo deixa de existir assim que o equipamento desligado. O objetivo deste trabalho demonstrar a possibilidade ou no de se obter o contedo da memria do equipamento no momento da apreenso baseado em metodologias de pericia convencional como a balstica forense e a papiloscopia forense onde as provas so manuseadas para se obter a veracidade dos fatos, ou seja, tal fato s permitido devido metodologia poder ser comprovada e aceita perante um tribunal. No caso da percia forense computacional o contedo da memria deixando de existir assim que o equipamento for desligado necessrio que algo possa validar esta investigao j que no contedo da memria podem existir arquivos descriptografados. Atualmente existem ferramentas que permitem realizar uma cpia do contedo da memria, porm para tal fato ser aceito e validado necessrio que o mesmo possua f pblica e para isso faz-se necessrio a utilizao de um recurso muitas vezes esquecido pelos profissionais a Ata Notarial que possibilita que um procedimento seja todo documentado por um tabelio o qual dotado de f pblica fazendo assim com que o procedimento realizado pelo profissional tambm tenha f pblica perante o tribunal.
Palavras-chave: PERCIA, FORENSE, COMPUTACIONAL, ANLISE, MEMRIA.

SUMRIO
LISTA DE FIGURAS .............................................................................................................. 9 LISTA DE ABREVIATURAS E SIGLAS ............................................................................... 10 1. INTRODUO................................................................................................................. 11 2. CRIMINALSTICA ............................................................................................................ 13 3. CRIMES........................................................................................................................... 14 4. CRIMES COMPUTACIONAIS ......................................................................................... 15 5. PERCIA FORENSE ........................................................................................................ 23 6. PERCIA FORENSE COMPUTACIONAL ........................................................................ 26 7. TCNICAS DE PERCIA FORENSE................................................................................ 30 7.1. Confronto microbalstico ............................................................................................... 30 7.2. Papiloscopia ................................................................................................................. 34 7.3. Anlise de memria ...................................................................................................... 35 8. FERRAMENTAS DE PERCIA COMPUTACIONAL ......................................................... 37 8.1. Ferramenta Helix .......................................................................................................... 37 8.2. Ferramenta Helix e DD ................................................................................................. 38 8.3. Ferramenta Volatility ..................................................................................................... 40 8.4. Os perigos da anlise de memria online ..................................................................... 42 9. CONCLUSO .................................................................................................................. 43 10. REFERNCIAS BIBLIOGRFICAS ............................................................................... 44

LISTA DE FIGURAS
Figura 1: SPAM enviado por e-mail ..................................................................................... 16 Figura 2: Falsa tela de site do homebank ............................................................................ 17 Figura 3: Tela falsa questionando usurio ........................................................................... 18 Figura 4: Cracker solicita as letras do carto do usurio...................................................... 18 Figura 5: Cracker solicita todas as combinaes do carto da vtima .................................. 19 Figura 6: Cracker solicita senha pessoal da vtima .............................................................. 19 Figura 7: Comunicado ao usurio sobre manuteno do site............................................... 20 Figura 8: Certificado de segurana clonado......................................................................... 20 Figura 9: Cartucho de munio de arma de fogo (SATO, 2003) .......................................... 31 Figura 10: Cartucho na cmara pronto para o disparo (SATO, 2003). ................................. 32 Figura 11: Comparao microbalstica de projteis (SATO, 2003)....................................... 33 Figura 12: Cpsulas percutidas pela mesma arma apresentando marcas da culatra em forma de linha paralela (SATO, 2003).................................................................................. 33 Figura 13: Confronto das marcas de culatra estampadas esquerda do sinal de percusso. As setas indicam que as marcas coincidem em ambas as cpsulas (SATO, 2003). ............ 34 Figura 14: Ferramenta Helix ................................................................................................ 37 Figura 15: Listagem dos aplicativos executando.................................................................. 38 Figura 16: Ferramenta para recuperar o contedo da memria ........................................... 39 Figura 17: Listagem dos processos pela ferramenta Volatility.............................................. 41 Figura 18: Relao das conexes ativas pela ferramenta Volatility...................................... 41

LISTA DE ABREVIATURAS E SIGLAS

CD DoS DVD HD IEEE IOCE IP MS-DOS PDA PFC PID SWGDE Compact Disk Denial of Service Digital Vdeo Disk Hard Disk Institute of Electrical and Electronics Engineers The International Organization of Computer Evidence Internet Protocol MicroSoft Disk Operating System Personal Digital Assistant Percia Forense Computacional Process ID Scientific Working Group on Digital Evidence

11

1. INTRODUO
Desde os primrdios a sociedade convive com os crimes e a violncia, a sociedade evoluiu, com isso tambm os crimes e a violncia. Para tentar manter a ordem foram estabelecidas leis pelas autoridades. A evoluo da sociedade foi acompanhada pelo avano tecnolgico que cada vez mais atinge as diferentes camadas da sociedade. Os crimes crescem a cada dia e para que um indivduo seja condenado necessrio que todo o rito processual seja cumprido. Parte desse rito a materializao do crime cometido, a qual ser feita atravs da criminalstica, quando da realizao dos exames periciais. De acordo com Zarzuela (1996, p. 9),
Para a criminalstica, o delito, como um ato humano, deve ser apontado e comprovado de forma cientfica ou tcnica, no importando as causas, circunstncias ou peculiaridades que conduziram o indivduo sua prtica.

Esse o papel da Percia Forense, que tem como objetivo demonstrar, atravs de mtodos cientficos, a verdade, auxiliando na tomada de deciso final nos casos judiciais. Atualmente a percia forense utilizada em praticamente todos os casos, porm com metodologias e exigncias diferentes para cada tipo de crime investigado. Este trabalho visa realizar uma comparao entre as metodologias de percia forense convencionais de outras reas e a Percia Forense Computacional (PFC), mostrando se possvel quebrar alguns paradigmas da PFC, reproduzindo a metodologia de percia forense convencional para o mundo computacional. Com a constante evoluo das tecnologias na rea computacional, a PFC tem sido cada vez mais dificultada, pois, existem atualmente alguns paradigmas que muitas vezes tornam a anlise e levantamento de evidncias menos til e gil do que poderiam ser. Vale destacar a utilizao cada vez maior de tcnicas e ferramentas que venham a dificultar a prtica delituosa e seu autor, tornando ainda mais necessrio o desenvolvimento de novos mtodos de busca por evidncias digitais. De acordo com Zillo Neto (2008),
Todos os dias novas tecnologias surgem e da a necessidade de novas preocupaes com segurana, novas especificaes, novos padres, e antes mesmo de implementarmos novas tecnologias seguras, aparecem outras, depois outras e sucessivamente, realmente vira uma corrida contra o tempo [...]

A PFC atualmente zela muito pela coleta e guarda das provas de forma a evitar alteraes e quebra de integridade das mesmas, ou seja, as provas analisadas devem permanecer da forma que foram encontradas (SHINDER, 2002). Porm, muitas provas como ameaas digitais que cada vez mais se utilizam de mecanismos de criptografia, s podem ser analisadas quando esto em execuo ou com o equipamento ligado, onde

12

sofrem pequenas alteraes (SECURITYFOCUS, 2007). Nestes casos s possvel analisar a prova se ocorrer uma pequena alterao. Em outras reas da percia, como a criminal, a prova "alterada" sem contestao, desde que o mtodo utilizado seja cientificamente comprovado e reconhecido. No procedimento de percia de uma arma de fogo, por exemplo, deve ocorrer o disparo com a arma em ambiente de laboratrio para analisar a prova do possvel crime, ao ser efetuado o disparo da arma ocorre uma alterao de provas. Isso no diz que a prova seja modificada a ponto de tornar inadmissvel a percia, porm a mesma precisa ser manuseada e preparada para a anlise. E por que isso no contestado? Devido ao mtodo utilizado poder ser cientificamente comprovado e reconhecido, a prova examinada em suas condies originais, fazendo com que o mesmo seja aceito (U.S. Departament of Justice FBI, 1994). Isso tambm ocorre na coleta de digitais que esto presentes na cena do crime de forma latente, onde s possvel a coleta atravs do uso de elementos qumicos, os quais so utilizados para perpetuar a prova, mas no comprometendo a anlise ou danificando-a.

13

2. CRIMINALSTICA
A criminalstica considerada uma disciplina nascida da Medicina Legal, esta quase to antiga quanto a prpria humanidade. Isto porque nas pocas passadas o mdico era pessoa de grande saber sendo, portanto sempre consultado, mas com os avanos dos diversos ramos das cincias, como a Qumica, a Biologia e a Fsica, houve a necessidade de especializao, o que fez com que outros profissionais passassem a ser consultados. Afirma-se que a criminalstica nasceu com HANS GROSS, o qual considerado o pai, j que foi ele quem cunhou este termo, juiz de instruo e professor de direito penal austraco, autor da obra System Der Kriminalistik, em 1893. Considerada um manual de instrues dos juzes de direito, a qual definia a criminalstica como O estudo da fenomenologia do crime e dos mtodos prticos de sua investigao. Criminalstica definida como disciplina cujo objetivo o reconhecimento e interpretao dos indcios materiais que no fazem parte do corpo humano ou identidade das pessoas envolvidas no delito. Englobando conhecimentos estruturados em vrias outras disciplinas como a Matemtica, Qumica, Tecnologia, a criminalstica tem como objetivo principal, a ampliao do conhecimento e desenvolvimento de novas tcnicas para o aperfeioamento da evidncia, fornecendo assim a justia provas objetivas. A criminalstica pode ser dividida em duas fases, sendo a primeira aquela em que se buscava a verdade atravs de mtodos primitivos, mgicos ou atravs da tortura, considerando que na maioria das vezes no se conseguia obter uma confisso do acusado de forma espontnea. A segunda fase procurava a verdade atravs de mtodos racionais, surgindo assim os fundamentos cientficos da criminalstica deixando de lado as crenas nos milagres e mgicas. Paralelamente verificou-se que atravs das cincias naturais possvel interpretar os vestgios do delito atravs da analise das evidncias do fato e sua autoria. Desde o seu surgimento a criminalstica visa estudar o crime de forma a no distorcer os fatos, zelando pela integridade e sempre perseguindo a evidncia de forma a oferecer a justia, um meio de obter os argumentos decisrios para a prolao da sentena (ZARZUELA, 1996).

14

3. CRIMES
Crime definido como toda a ao ou omisso, tpica, antijurdica, tal que: a) Ao ou omisso: Significa que o crime sempre praticado atravs de uma conduta positiva (ao). Ou atravs de uma forma negativa (omisso). b) Tpica: Significa que a ao ou omisso praticada pelo criminoso deve ser tipificada, isto , descrita em lei como delito. c) Antijurdica: Significa que a conduta sendo ela positiva ou negativa, alm de tpica, deve ser antijurdica, isto , contrria ao direito. Ser antijurdica a conduta que no encontrar uma causa que venha a justific-la. d) Culpvel: Significa o que se passa na mente do criminoso que praticou um delito, podendo ter desejado um resultado criminoso (agiu com dolo direto); ter se arriscado e produzido um resultado criminoso (agiu com dolo direto eventual); ou, ainda no ter desejado aquele resultado criminoso, mas o mesmo ocorreu por imprudncia, negligncia ou impercia (agiu com culpa) (ELEUTRIO, 2008). Para que um crime seja considerado, necessrio percorrer toda uma rota de evidncias, apreciando e analisando todas as caractersticas que o delito deve apresentar e apenas depois disso chegar a uma concluso. O conceito de crime ainda esta em evoluo, porm acredita-se que o conceito adotado perdurar por muito tempo (ELEUTRIO, 2008).

15

4. CRIMES COMPUTACIONAIS
Os crimes computacionais, crimes eletrnicos, crimes informticos, entre outros termos utilizados surgiram no final do sculo XX e compreendem todas as formas de conduta consideradas ilegais realizadas utilizando o computador, como a pirataria de softwares, manipulao de dados ou informaes, espionagem, acesso no autorizado a redes e computadores, abusos nos sistemas de telecomunicao entre muitos outros. Desde o seu surgimento os crimes computacionais tm preocupado o mundo, porm, no h um consenso para a classificao dos crimes computacionais. Para ARAS (2008) na doutrina brasileira, tem-se asseverado que os crimes informticos podem ser puros (prprios) e impuros (imprprios). Porm, atualmente no Brasil no existe uma lei especifica que trate dos crimes de informtica, o que existe apenas um projeto de lei, o qual est em trmite no congresso e o que ocorre o uso de equipamentos de informtica para a prtica de delitos tipificados como: extorso, difamao, calnia, injria, furto. Os crimes considerados puros ou prprios so aqueles praticados atravs do computador os quais se realizam tambm por meio eletrnico, onde a informtica o objeto jurdico tutelado. J nos crimes considerados impuros ou imprprios so aqueles em que para se produzir o resultado naturalstico que atue no mundo fsico ou o espao real, lesando outros bens no-computacionais da informtica (DAMSIO apud ARAS, 2008). Muitos crimes realizados com o uso da internet podem ser considerados como prprios ou imprprios, como o pishing, trojan e spam. Atualmente estes crimes geram prejuzos enormes, os bancos estipulam valores em centenas de milhes de reais. O pishing um tipo de fraude eletrnica com o objetivo de se obter dados valiosos para posteriormente realizar uma fraude ou um roubo. Estas informaes so obtidas atravs de sites falsos, e-mails falsos usando sempre de pretextos falsos para enganar a quem recebe a mensagem. No caso do trojan ou cavalo de tria, tem como principal objetivo entrar no computador e liberar o acesso do mesmo atravs de uma porta para que o criminoso possa acess-lo posteriormente e procurar por senhas no computador da vtima. O spam toda mensagem enviada para vrios destinatrios que no solicitaram a mesma. O termo spam nome de um tipo de carne enlatada da empresa norte-americana Hormel Food, este termo tornou-se sinnimo de incomodo na dcada de 70 em um dos episdios de um grupo humorstico ingls Monty Pyton, no qual o grupo de vikings repetia incansavelmente a palavra spam, importunando a todos que estavam em um bar. Com o

16

surgimento da internet o termo spam virou sinnimo de mensagens indesejadas. Muitas vezes estas mensagens trazem links para pishing e trojans. A Figura 1 retrata um e-mail com a inteno de fazer com que a vtima execute um programa que ser instalado no computador para posteriormente obter seus dados, um cavalo de tria.

Figura 1: SPAM enviado por e-mail

De acordo com Zillo Neto (2006) o SPAM ,

[...] Um problema de segurana e at mesmo de produtividade que continua sendo explorado, afinal ainda existem usurios que "clicam" nos e-mails indesejados. Se o "recurso" de Spam continua sendo utilizado, com certeza ele ainda d "lucros". Fica comprovado que as "caixinhas" no resolvem esses problemas definitivamente, a educao e conscientizao de usurios deve ser uma estratgia complementar.

No mundo digital adotado o termo hacker para descrever o criminoso que atua neste meio, apesar de no haver um consenso entre autores estes so divididos em vrios outros termos de acordo com o tipo de crime cometido (NOGUEIRA, 2001). Hackers em geral so simples invasores de sistemas, os quais realizam tais invases como forma de desafiar seus prprios conhecimentos e segurana de sistemas informatizados do governo ou grandes empresas privadas, tendo como objetivo o reconhecimento de suas habilidades mesmo que agindo de forma annima, apenas por assim dizer para alimentar o seu ego. No inicio foram recebidos como os grandes heris da

17

informtica,

pois

atravs

de

seus

atos

teriam

contribudo

diretamente

para

aperfeioamento dos computadores pessoais e corporativos, a segurana dos sistemas informticos bem como para o desenvolvimento da indstria do software. Estes hackers por sua contribuio e tambm por no terem como objetivo o abuso ou furto de informaes ou prejuzo a empresas e governo so considerados os hackers ticos. Os crackers so considerados os hackers antiticos, pois agem como os hackers, porm utilizam o seu conhecimento para invadir sistemas informticos, furtar informaes, adulterar dados, prejudicar pessoas, empresas, governos e o que mais for necessrio para obter o que desejam, causando os mais diversos tipos de prejuzo as vitimas e tambm a sociedade. A Figura 2 exibe a tela fraudada do site de um banco, esta tela exibida logo aps o usurio efetuar o seu login na pgina principal do banco. Como nota-se o nome do usurio no informado e falta a comunicao de que se o nome no estiver correto necessrio entrar em contato com a equipe tcnica. Nota-se que o site possui um certificado se segurana pelo cadeado exibido no browser.

Figura 2: Falsa tela de site do homebank

Na Figura 3 aps o usurio informar os dados de sua agncia e conta, o correto seria abrir uma pgina com o menu principal do homebank, porm ao invs desta pgina, exibida uma pgina em que o usurio questionado sobre o recebimento de um carto que contendo dados que servem como uma chave de segurana. Dependendo da opo em que o usurio clicar, SIM ou NO, a seqncia de obteno de dados ser diferente, neste caso optou-se por clicar em SIM.

18

Figura 3: Tela falsa questionando usurio

A Figura 4 a tela exibida ao usurio aps o mesmo clicar na opo SIM na Figura 3, nesta pgina o cracker, solicita que a vtima informe as letras que esto em seu carto, fato este que no solicitado no site verdadeiro do banco.

Figura 4: Cracker solicita as letras do carto do usurio

Na Figura 5 nota-se que o cracker novamente solicita que a vtima informe todas as combinaes possveis descritas em seu carto. Este procedimento no deveria ser solicitado, j que essa combinao tem por funo oferecer segurana, e tal solicitao vai diretamente contra tal funo.

19

Figura 5: Cracker solicita todas as combinaes do carto da vtima

Na Figura 6 solicitado que a vtima informe sua senha pessoal de transao bancria pelo homebank, nota-se que no a senha para acesso ao homebank, e sim a senha que permite a realizao de transaes bancrias.

Figura 6: Cracker solicita senha pessoal da vtima

Aps informar a sua senha, a vtima recebe um comunicado de que no momento o site do homebank, se encontra em manuteno e solicita que a vtima acesse o site posteriormente, conforme a Figura 7. Aqui observado outro ponto importante, os avisos de manuteno do site so feitos antes de o usurio inserir qualquer tipo de senha bloqueando o acesso ao site. Essa comunicao nunca feita aps a insero de todos os dados, ficando claro que se trata de um site falso.

20

Figura 7: Comunicado ao usurio sobre manuteno do site

Alguns especialistas dizem que um modo de se identificar um site bancrio falso clicando no cadeado que aparece na lateral direita da extremidade inferior da pgina. Tal informao tem como embasamento de que ao se clicar no cadeado do site falso, este no abrir uma nova janela contendo os dados do certificado. Mas como se pode observar na Figura 8, isto no verdade.

Figura 8: Certificado de segurana clonado

21

Os phreakers so os hackers por assim dizer especializados em fraudar sistemas de telecomunicao, fraudando linhas de telefone convencionais e celulares para fazer uso destas de forma gratuita. O Lamer o indivduo que realiza seus ataques baseado em informaes encontradas em sites e livros de hackers para invadir redes ou computadores pessoais com segurana frgeis. O Wannabe o indivduo que se intitula hacker ou cracker, porm ainda no possui o conhecimento necessrio para denominar-se assim. De posse de programas para realizar invaso a computadores apenas sabe como utiliz-los e no os conhece a fundo o funcionamento dos mesmos. O Wizard tido entre os criminosos como o mestre dos hackers, seus conhecimentos so profundos e variados, no sendo necessariamente mal-intencionado. Tem o status de mito, com direito a lendas e casos sobre ele (NOGUEIRA, 2001). No mundo computacional ainda existem vrias outras definies para os criminosos eletrnicos, como os cyberpunks e os cyberterrorists que aplicam seus conhecimentos para o desenvolvimento de vrus de computador com objetivos de sabotar redes de computadores, roubar dados confidenciais e em alguns casos realizar ataques de negao de servio. Apesar de todas as definies utilizadas para os criminosos eletrnicos a grande maioria das pessoas utiliza a palavra hacker para identificar o criminoso. Os crimes computacionais podem ocorrer de diversas formas utilizando-se de recursos como a Engenharia Social onde nem mesmo necessrio conhecimento tcnico, mas o importante ter o conhecimento do comportamento humano afim de que se consigam as informaes do alvo atingido de forma que ele mesmo no perceba que estas foram passadas. Quebras de senha tambm so ataques comuns, pois nesses casos os hackers tentam obter as senhas de redes as quais esto conectados utilizando-se de vrios mtodos como, por exemplo, o ataque de fora bruta onde so efetuadas vrias tentativas at que se consiga descobrir a senha e credencial correta ou atravs de programas quebradores de senha os quais tambm utilizam tentativa e erro para a descoberta de credenciais. Existem tambm os ataques de backdoor, ou porta dos fundos, onde os programadores deixam portas abertas em programas para futuras manutenes. Os ataques DoS (Denial of Service), ou seja, um ataque com o objetivo de realizar solicitaes a um mesmo computador atravs de uma rede de computadores, fazendo com que o mesmo no consiga atender a todos os chamados onde o computador atacado fica inoperante (NOGUEIRA, 2001).

22

No so incomuns atualmente casos de perseguio, ameaas, pedofilia, violao de privacidade, crimes contra a honra, liberdade individual atravs de computadores. Nestes casos ento o computador serve como o instrumento do crime, ou seja, so diversos crimes j conhecidos executados atravs de um computador (SHINDER, 2002). Todos estes crimes mostram o quanto inevitvel e imprescindvel a atuao da Justia Penal na informtica, porm para assessorar a mesma so necessrias metodologias cientficas capazes de identificar seus autores e neste momento em que a percia forense entra para auxiliar a Justia.

23

5. PERCIA FORENSE
O termo Percia vem do latim e significa destreza, competncia e habilidade, e Forense se refere ao foro judicial, relativo aos tribunais. Pode-se dizer ento, que a percia forense o termo adotado para identificar os mtodos cientficos da criminalstica para se identificar e obter a evidncias necessrias para o auxilio da justia. A percia forense trabalha investigando o fato de um crime buscando materializar o ato criminoso, por meio da confeco de provas de ordem tcnico-cientfica, que comprovem a veracidade do fato, de forma a no deixar dvida sobre as evidncias investigadas. Tal funo deve-se ao fato de que o juiz, pessoa dotada de grande conhecimento jurdico, no dispe de grande saber cientfico, o que torna obrigatrio a presena dos Peritos, profissionais detentores de grande conhecimento em reas cientficas e de confiana do juiz, o qual utilizar de seus conhecimentos para realizao da percia no objeto questionado (indcio), sendo que o resultado de seu trabalho ser exposto por meio de um laudo, o qual deve ter uma linguagem simples, mas sem omitir dados tcnicos, que possam ser compreendidos por no especialistas (BUSTAMANTE, 2006). O perito um profissional altamente capacitado e atualizado o qual possui a habilidade necessria para tal tarefa, utilizando meios cientficos, tcnicos ou artsticos para provar a veracidade do fato em questo elaborando aps a anlise de todas as evidncias um laudo tcnico pericial o qual passa a ser uma das provas que compem um processo judicial. Um exame pericial pode consistir em percia realizada em mveis, pessoas, equipamentos, entre muitos outros. O cargo de Perito Criminal dotado de f pblica, ou seja, o que constatado no laudo pericial tido como verdade, afinal o perito uma pessoa idnea e imparcial. De acordo com Rezende (2008),
[...] a f pblica no abriga apenas o significado de representao exata e correta da realidade, de certeza ideolgica, mas tambm de um sentido altamente jurdico, ou seja, fornece evidncia e fora probante atribuda pelo ordenamento, quanto interveno do oficial pblico em determinados atos ou documentos. O valor jurdico e a certeza implicam que a f pblica pressupe a correspondncia da realidade, cuja firmeza tutelada pelo Direito.

Nos casos em que um perito no possua f pblica ligada diretamente ao seu cargo, como no caso de um perito nomeado pelo juiz ou at mesmo um perito particular, o mesmo poder ter seu laudo validado com f pblica atravs de um recurso no meio do direito a Ata Notarial. O recurso consiste na presena de um Tabelio junto ao perito o qual ir lavrar a ata narrando os fatos observados imparcialmente atravs dos seus sentidos durante a percia.

24

De acordo com Silva Neto (2008),

A ata notarial nada mais do que a narrao de fatos verificados pessoalmente pelo Tabelio e compreende: Local, data de sua lavratura e hora; Nome e qualificao do solicitante; Narrao circunstanciada dos fatos; Declarao de haver sido lida ao solicitante, e, sendo o caso, s testemunhas; Assinatura do solicitante, ou de algum a seu rogo, e, sendo o caso, das testemunhas e Assinatura e sinal pblico do Tabelio.

O poder certificante do notrio uma faculdade que a lei lhe d para, com sua interveno, evitar o desaparecimento de um fato antes que as partes o possam utilizar em proveito de suas expectativas. A f pblica , em todo o momento do negcio jurdico, o caminho mais efetivo para a evidncia [...]. Tudo se reduz interveno notarial que, com sua presena ou sua atuao, soleniza, formaliza e d eficcia jurdico ao que ele manifesta ou exterioriza por instrumento pblico, seja este escriturado ou no. Isto se relaciona, tambm, com o poder certificante do notrio, o que permite s partes em forma voluntria, escolher a forma e o modo de resolver seus negcios [...]; neste caso, como afirma Gatn, a funo notarial pode considerar-se como jurisdicional. O notrio, dentro de sua ampla gama de faculdades, lograr, com sua interveno, estabelecer a prova preconstituda, que h de servir de pauta legal, no momento em que seja necessrio solicit-la (YAES apud SILVA NETO, 2008). A ata notarial um documento pblico e tem o mesmo valor que uma escritura pblica e tudo isso se encontra na legislao brasileira (SILVA NETO, 2008): Artigo 364, CPC - O documento pblico faz prova no s da sua formao, mas tambm dos fatos que o escrivo ou o tabelio, ou o funcionrio declarar que ocorreram em sua presena. Artigo 217, CC/2002 - Tero a mesma fora probante os traslados e as certides, extrados por tabelio ou oficial de registro, de instrumentos ou documentos lanados em suas notas. Artigo 223, CC/2002 - A cpia fotogrfica de documento, conferida por tabelio de notas, valer como prova de declarao da vontade, mas, impugnada sua autenticidade, dever ser exibido o original. Pargrafo nico. A prova no supre a ausncia do ttulo de crdito, ou do original, nos casos em que a lei ou as circunstncias condicionarem o exerccio do direito sua exibio. A Percia Forense existe nos dois ramos bsicos do direito, o penal e o cvel, aqui includo o trabalhista. No ramo penal atua no estudo dos indcios produzidos pela prtica delituosa, seja de engenharia, ambiental, identificao de ossada, computacional, etc, e na

25

cvel, em todo litgio que podem ser dirimidos por meio de estudos tcnico-cientficos, como os casos de investigao de paternidade, ou seja, atua nos mais variados campos onde se v necessrio conhecimento tcnico especializado. No meio criminal observa-se o emprego da percia em anlises balsticas, exames de DNA, a papiloscopia que o processo de identificao atravs de impresses digitais, exames mdicos e anlises toxicolgicas de drogas. Nos crimes ambientais podemos observar o uso da percia no trfico de animais silvestres, desmatamentos, entre outros. Na engenharia o campo de atuao muito vasto, so cabveis em desapropriaes, usucapio, busca e apreenses. No mundo computacional observa-se a crescente demanda por este tipo de percia, com os crimes tomando novas formas e utilizando-se de novos meios, porm no deixando de existir e sim crescendo na mesma proporo do avano da tecnologia. Para o combate a estes crimes necessrio um profissional que esteja em aprimoramento tcnico-cientfico constante. Os crimes computacionais possuem tambm uma rea de atuao muito vasta, como a recuperao de dados, anlise de dados na internet, anlise de trfego de redes, anlise de vrus, anlise de ataques entre outras muitas possibilidades.

26

6. PERCIA FORENSE COMPUTACIONAL

A PFC a rea da criminalstica que trabalha em busca da veracidade dos fatos em delitos realizados com uso ou atravs de computadores. Com o avano da tecnologia e o aumento destes crimes na mesma proporo torna-se cada vez mais necessrio o emprego desse tipo de percia. Para realizar a anlise e coleta de evidncias so seguidos procedimentos rgidos para que no exista nenhuma irregularidade durante a investigao do fato, o que pode fazer com que o juiz considere a prova inadmissvel. O processo de coleta de evidncias regido por leis, toda a evidncia deve ser autenticada, o que significa que alguma testemunha tem o dever de testemunhar sua autenticidade. No caso da evidncia digital este poder ser um testemunho pessoal, no qual o individuo tenha conhecimento dos elementos de prova como um perito, por exemplo. Tambm existem as evidncias as quais no necessitam de testemunho como documentos pblicos e publicaes oficiais (SHINDER, 2002). Existem trs categorias de provas: Provas fsicas: consiste em objetos materiais que podem ser vistos e tocados; Provas de testemunho direto: o depoimento de uma testemunha que pode narrar os fatos de acordo com sua experincia pessoal atravs dos cinco sentidos; Provas circunstanciais: no baseadas em observao pessoal, mas em observao ou conhecimento de fatos que tendem a apoiar uma concluso indiretamente, mas no provam isto definitivamente. Em casos de crimes computacionais as provas so classificadas pelas normas SWGDE (Scientific Working Group on Digital Evidence) / IOCE (The International Organization of Computer Evidence ) (SHINDER, 2002): Provas digitais: informao de valor para um processo penal que est armazenada ou transmitida de forma digital; Dados objetos: consiste em objetos de valor para um processo penal o qual est associado a itens fsicos; Itens fsicos: consiste nas mdias fsicas onde a informao digital armazenada ou pelo qual transmitido ou transferido.

27

Para se iniciar um processo de percia computacional necessrio seguir procedimentos rigorosos, visando integridade das provas. So estes requisitos que tornam a prova admissvel em um tribunal. Primeiramente a prova deve ser obtida de forma legal atravs de um mandato de busca e apreenso. A maior parte dos profissionais que trabalham obtendo as provas necessrias para investigao concorda com alguns princpios bsicos (SHINDER, 2002): A prova original deve ser preservada em um estado to prximo quanto possvel do estado em que estava quando foi encontrado. Se possvel, uma cpia exata (imagem) do original deve ser feita, sendo que esta ser utilizada para anlise de forma a no prejudicar a integridade do original. A cpia dos dados deve ser realizada em uma mdia que esteja sem nenhuma informao pr-existente, ou seja, totalmente limpa e verificada que a mesma est livre de vrus e defeitos. Todas as evidncias devem ser etiquetadas, documentadas e preservadas, e cada passo da anlise forense deve ser documentado em detalhes. Os primeiros a chegar a cena do crime devem tomar algumas precaues para que se possa garantir a integridade das evidncias, tentando no modificar, desligar equipamentos ou obter provas, a menos que os mesmos sejam treinados em forense computacional, afinal, muitos criminosos podem deixar cavalos de tria e outros mecanismos que programem a destruio das provas do equipamento, assim que sejam desligados ou manipulados incorretamente. Os primeiros a chegar a cena do crime devem se preocupar com (SHINDER, 2002): Identificar a cena do crime: Verificar a extenso da cena do crime e definir um permetro. Isso pode incluir desde uma sala, vrias salas ou ainda edifcios inteiros se o suspeito estiver atuando em uma complexa configurao de computadores em rede. Proteger a cena do crime: quando se pretende obter evidncias digitais todos os equipamentos laptops, notebooks, desktops, PDAs (Personal Digital Assistant) entre outros devem ser protegidos. Estes itens podem ser limitados devido ao mandado mas at que o investigador do caso chegue no deve ser descartado nenhum equipamento. Preservar as evidncias frgeis e temporrias: no caso de evidncias que possam desaparecer antes dos investigadores chegarem, como informaes

28

sendo exibidas no monitor e mudando constantemente, os primeiros a chegar ao local do crime devem tomar quaisquer medidas possveis para preservar ou gravar estas evidncias. Se uma cmera estiver disponvel, fotos devem ser tiradas e na ausncia desta os presentes na cena do crime devem tomar notas detalhadas e estarem dispostos a testemunharem em um tribunal, sobre o que foi observado na cena do crime. Os investigadores ao chegarem a cena do crime podem se deparar com uma equipe j trabalhando na mesma, porm, a partir deste momento os mesmos devem ser coordenados pelo investigador policial, o qual tambm desempenha o seguinte papel (SHINDER, 2002): Estabelecer a cadeia de comando: o investigador snior deve garantir que todos esto cientes da cadeia de comando e as decises importantes so filtradas por ele. Computadores e demais equipamentos no devem ser desligados ou manuseados sem instrues diretas do investigador snior. Se o investigador a cargo da investigao precisar deixar a cena do crime deve designar um membro da equipe para que fique em seu lugar e tambm manter contato freqente com este durante toda sua ausncia. Conduzir a pesquisa na cena do crime: deve direcionar a pesquisa e anlise das evidncias na cena do crime, se o mandado de busca permitir deve-se verificar todo o hardware, software, manuais, notas escritas e tudo que se relacione ao uso dos equipamentos como computadores, notebooks, scanners, PDAs, disquetes, CDs (Compact Disk), DVDs (Digital Vdeo Disk), fitas, discos removveis e todos os demais discos que possam ser vistos ao redor. Manter a integridade da evidncia: os investigadores devem continuar a proteger as evidncias, como a preparao para preservar evidncias volteis, duplicando os discos e desligando os sistemas corretamente. O investigador deve supervisionar todas as aes tcnicas na cena do crime e transmitir todas as consideraes que devem ser tomadas com base na natureza do caso e conhecimento do suspeito. De acordo com Shinder (2002, p. 554),
Os tcnicos em crimes informticos devem ser treinados em computao forense possuindo uma slida experincia na rea de tecnologia computacional, conhecer como discos so estruturados, como trabalha o sistema de arquivos e como e onde os dados so gravados.

29

Geralmente os tcnicos em crimes informticos ou peritos em crimes informticos, so responsveis pelo seguinte (SHINDER, 2002): Preservar evidncias volteis e duplicar discos: informaes que esto na memria do equipamento, processos sendo executado, duplicar discos antes de desligar o equipamento. Desligar sistemas para transporte: desligar o equipamento de forma correta muito importante para que se possa garantir integridade da prova em alguns mtodos a forma correta encerrar todos os programas e desligar o computador normalmente, em outros se desliga o equipamento tirando o cabo de energia para evitar que algum programa destrua os dados durante o processo de desligar o equipamento normalmente. Este ltimo mtodo no deve ser adotado em sistemas baseados em UNIX, j que este procedimento pode danificar dados, alguns profissionais indicam mudar de conta de usurio atravs do comando su se a senha do usurio root for conhecida e utilizar o comando halt antes de desligar o equipamento. Etiquetar e anotar as evidncias: todas as provas devem ser marcadas com as iniciais do tcnico ou perito, hora e data em que foi coletada, nmero do processo e dados de identificao. Embalar os elementos de prova: evidncias digitais, principalmente as que possuem circuitos expostos como discos rgidos, devem ser embalados em sacos antiestticos para o transporte. Documentos e manuais devem ser embalados em sacos plsticos ou protegidos de outra forma. Transportar os elementos de prova: todas as evidncias devem ser transportadas o mais rpido possvel para sala de armazenamento de provas. Durante o transporte as evidncias no devem entrar em contato com campos magnticos (inclusive rdios policiais ou equipamentos eletrnicos no veculo), ficar expostas ao sol ou em locais com temperatura acima de 24 C. Processar os elementos de prova: a partir da cpia realizada dos discos deve-se realizar a percia no equipamento atravs de ferramentas forenses. Atualmente as tcnicas utilizadas pela PFC atentem aos requisitos necessrios para que se consiga a evidncia e a veracidade dos fatos de forma ntegra, porm o conceito de realizar uma cpia do contedo da memria ainda no um procedimento padro no sendo adotado usualmente.

30

7. TCNICAS DE PERCIA FORENSE

Independente da rea em que ser realizada a pericia ser necessrio utilizar tcnicas que possam tornar possvel a anlise dos elementos de prova. As tcnicas empregadas atualmente so de grande auxlio e tornam possvel observar a veracidade aos fatos. Para cada tipo de anlise existe uma tcnica especfica a qual torna possvel atravs de analises identificar e evidenciar a veracidade dos fatos.

7.1. Confronto microbalstico

No local de um crime onde foram efetuados disparos com arma de fogo o trabalho da percia coletar as evidncias destes disparos, ou seja, projteis, armas e cpsulas para realizar posteriormente a anlise das evidncias e descobrir de que arma foram realizados os disparos. Para isso utilizada a tcnica de confronto microbalstico ou balstico a qual tem como objetivo identificar a arma que realizou o disparo de determinado projtil. Exames em armas de fogo podem demonstrar se a mesma mecanicamente funcional ou se poderia ser realizada um disparo no intencional, para isso so realizados exames no gatilho para que possa identificar a presso necessria para realizar o disparo, para isso so identificadas as caractersticas microscpicas dos projteis (FBI, 2003). Os projteis examinados so chamados de projtil incriminado e projtil padro. O projtil incriminado aquele que foi encontrado na cena do crime ou corpo da vtima, e o projtil padro o projtil obtido atravs de disparo em ambiente de laboratrio, onde ser efetuada posteriormente o confronto microbalstico. Para Sato (2003, p. 26), para que se possa compreender de melhor forma o confronto microbalstico [...] necessrio conhecer a munio de arma de fogo e os fenmenos envolvidos durante o disparo. No momento do disparo ocorre o que chamado de Dinmica de Tiro, onde ocorrem quatro fases em uma frao de segundo (ZARZUELA, 1996): 1 Fase mecnica: onde ocorre a percusso da cpsula de espoletamento que contm a mistura iniciadora; 2 Fase qumica: neste ponto ocorre a reao de detonao da mistura iniciadora seguida da reao de deflagrao da plvora; 3 Fase fsica: esta fase representada pelos gases formados no interior do estojo, sob elevada presso e temperatura 4 Fase mecnica: aqui ocorre o desalojamento do projtil do estojo, o encaminhamento culatra, passagem pelo cano e sada pela boca em direo ao alvo, segundo uma trajetria.

31

Na Figura 9 observa-se que o cartucho de arma de fogo composto por quatro partes: projtil, estojo (ou cpsula), o propelente (ou plvora) e a espoleta (SATO, 2003).

Figura 9: Cartucho de munio de arma de fogo (SATO, 2003)

O projtil atravessa o cano da arma e atinge o alvo, para isso a fora com que o mesmo acelerado dentro do cano da arma proveniente da plvora, pois a queima da plvora gera grande quantidade de gs, aumentando a presso interna e o projtil empurrado para frente. Para que a plvora queime necessrio que haja uma chama iniciadora, a qual fornecida pela espoleta que contm uma pequena quantidade de explosivo sensvel ao choque mecnico, ou seja, detona com percusso. A cpsula (ou estojo) o recipiente que contm o projtil na ponta, a plvora dentro e a espoleta na base (SATO, 2003). A Figura 10 demonstra como o cartucho fica alojado na cmara pronto para ocorrer o disparo.

32

Figura 10: Cartucho na cmara pronto para o disparo (SATO, 2003).

O que torna possvel o confronto microbalstico o contato da superfcie lateral do projtil durante o disparo com a superfcie interna do cano da arma de fogo o qual produzir marcas e micro-estriamentos sobre a superfcie do projtil, marcas estas macroscpicas e microscpicas. Estas marcas so nicas, ou seja, estas marcas s podem ser geradas pela mesma arma nunca por outra (SATO, 2003). Para realizar a comparao balstica a arma apreendida manuseada e preparada em ambiente de laboratrio para que possa efetuar os disparos experimentais. De acordo com Zarzuela (1996, p. 40),
Na prtica rotineira dos Institutos de Criminalstica do pas, para proceder-se identificao individual de uma arma de fogo, realizam-se tiros experimentais em desaceleradores como gua, cinzas, serragem, algodo, glicose etc.

Aps os disparos experimentais os projteis experimentais so comparados com a evidncia lado a lado por um microscpio com cmera fotogrfica acoplada podendo verificar pequenas reas de um projtil mesmo que bastante deformado devido ao impacto. A Figura 11 mostra a superfcie lateral de dois projteis disparados pela mesma arma e comparados por microscpio.

33

Figura 11: Comparao microbalstica de projteis (SATO, 2003).

Os cartuchos tambm podem ser verificados microscopicamente em busca de evidencias que comprovem que o mesmo foi marcado por determinada arma de fogo (FBI, 2003). A cpsula da munio tambm adquire marcas da arma, quando o percurtor se choca contra a espoleta, deixando marcas no local do contato e tambm a queima de plvora que aumenta a presso interna do cartucho faz com que o mesmo seja empurrado para trs, chocando-se com a culatra, fazendo com que o mesmo tenha as imperfeies da culatra impressas na base o cartucho, observadas na Figura 12 e Figura 13 (SATO, 2003).

Figura 12: Cpsulas percutidas pela mesma arma apresentando marcas da culatra em forma de linha paralela (SATO, 2003).

34

Figura 13: Confronto das marcas de culatra estampadas esquerda do sinal de percusso. As setas indicam que as marcas coincidem em ambas as cpsulas (SATO, 2003).

Este mesmo procedimento se aplica a instrumentos como alicates, chaves-defenda, etc. O que se faz sempre comparar as marcas deixadas (SATO, 2003).

7.2. Papiloscopia
A papiloscopia a tcnica utilizada para identificao humana atravs de impresses digitais, coleta de fragmentos em locais de crimes ou acidentes, anlise de retratos falados. Para isso atravs de reveladores papilares tornam possveis as identificaes. De acordo com Zarzuela (1996, p. 78),
Reveladores, sob o ponto de vista genrico, so substncias puras ou misturas capazes, fsica ou quimicamente de tornar visveis impresses papilares latentes. [...] So reveladores de impresses papilares latentes as substncias qumicas ou meios idneos capazes de torn-las visveis sem que ocorra reao qumica entre o revelador e os produtos de perspirao.

Para realizar a coleta de impresses digitais necessrio que a cena do crime esteja intacta, ou seja, sem nenhuma modificao garantindo a integridade das evidncias. Devem ser seguidos procedimentos que preservem a evidncia (FBI, 2003): Fotografar impresses latentes antes de qualquer tratamento; Examinar todas as evidncias visuais com uma luz laser ou outra fonte luminosa antes de usar qualquer outro processo de identificao latente; Quando utilizar processos para obter impresses latentes, consultar as instrues do fabricante e as fichas de segurana. Usar equipamento de proteo individual (por exemplo, culos de segurana, mscaras, luvas, etc);

35

Para se obter as impresses latentes de uma cena de crime podem ser utilizados reveladores compostos de vrias substncias qumicas puras ou misturas (ZARZUELA, 1996). Estas substncias qumicas ou misturas funcionam como ferramentas que tornam possvel obter as provas, como procedimentos que garantem a integridade da evidncia, fazendo com que a mesma seja aceita em um tribunal pelo juiz.

7.3. Anlise de memria

Os dados contidos na memria do equipamento so tidos como dados volteis, ou seja, dados que dependem da energia eltrica para existirem, pois assim que a energia faltar ou o equipamento for desligado estes dados deixam de existir. De acordo com o IEEE (Institute of Electrical and Electronics Engineers) devem ser coletados primeiramente os dados mais volteis, porm a coleta dos dados volteis apresenta um problema j que este procedimento altera o estado do sistema, ou seja, o contedo da memria e alguns especialistas recomendam que os peritos em computao capturem dados de processos em execuo, estado da rede e um dump dos dados da memria, ou seja, uma cpia do contedo da memria. Todas as operaes realizadas durante o processo de investigao do equipamento devem ser documentadas. Para este tipo de anlise podem ser utilizados comandos como netstat, ipconfig, ifconfig (no Linux), arp, etc, desde que os mesmos sejam todos documentados (SHINDER, 2002). A anlise de memria uma forma de se pesquisar o que esta ocorrendo no equipamento no exato momento em que o mesmo esta em operao, pois os processos em execuo alocam espaos na memria para que possam ser executados no equipamento. Isso torna possvel anlise de malwares, vrus, ou seja, os programas em execuo, este tipo de anlise denominado com anlise dinmica. De acordo com Farmer e Venema (2007, p. 103),
Com a anlise dinmica, estudamos um programa medida que ele executa. [...] A anlise dinmica tem a vantagem da velocidade. Mas ela tem a desvantagem de que o que voc v tudo o que voc obtm. [...] impossvel fazer com que um programa no trivial percorra todos os caminhos no seu cdigo.

A forma mais simples de se descobrir como um programa se comporta execut-lo e observar o que acontece, porm este procedimento pode comprometer

36

toda a investigao afinal o programa pode vir a destruir todas as informaes do equipamento. Para executar este programa seria mais seguro que o mesmo fosse executado em um ambiente onde o mesmo no pudesse causar grandes danos, um ambiente controlado, ou como adotado pela balstica executar em uma caixa de areia, este termo emprestado da balstica, pois os peritos em balstica efetuam disparos de testes em caixas de areia fazendo com que os projteis no causem nenhum dano (FARMER e VENEMA, 2007). Como nas percias de armas de fogo e papiloscopia, na computao so utilizadas ferramentas para auxiliar o desenvolvimento da investigao bem como para obter a veracidade dos fatos, estas ferramentas so softwares especficos para este fim.

37

8. FERRAMENTAS DE PERCIA COMPUTACIONAL

As ferramentas para PFC so muito diversas, sendo definido pelo profissional que realizar a anlise qual a mais adequada para cada caso. Dentre tantas ferramentas podem-se identificar ferramentas para recuperao de dados, anlise de memria, engenharia reversa, anlise de dados em uma rede entre muitas outras.

8.1. Ferramenta Helix

Este trabalho aborda uma ferramenta de uso gratuito disponvel na internet o Helix (http://www.e-fense.com/helix/) e algumas outras opes de ferramentas. A ferramenta Helix uma ferramenta que possui opes para recuperao de dados, listagem de processos, anlise de memria, recuperao de credenciais de acesso como logins e senhas, cookies entre diversos outros itens importantes durante uma anlise pericial. O Helix executa a partir de um CD, pode tanto ser executado com o computador ligado como pode ser utilizado de forma inicializvel, ou seja, pode ser iniciado ao ligar o computador, onde carregado no equipamento sua verso em Linux, onde se pode utilizar as ferramentas disponveis para anlises dos casos e alguns programas que no esto disponveis em sua verso Windows, como o Autopsy. A Figura 14 mostra o Helix em execuo a partir do CD no ambiente Windows, a partir desta janela do programa possvel executar os programas disponveis para realizar a anlise forense.

Figura 14: Ferramenta Helix

38

Estas ferramentas so indispensveis e contribuem imensamente na soluo dos casos, agilizando o processo de investigao e garantindo a integridade da anlise desenvolvida pelo profissional. Atravs do Helix possvel descobrir quais aplicativos esto sendo executados no momento em que a percia no equipamento realizada, isso de grande importncia no caso de o que se esteja procurando um malware, tornando possvel uma anlise no aplicativo atravs de ferramentas que possibilitam descobrir o que este aplicativo faz e como ele se comporta, buscando um entendimento mais profundo, o que tambm consome um tempo maior de investigao. Na Figura 15 possvel observar a listagem dos aplicativos que esto executando no momento da percia pela ferramenta.

Figura 15: Listagem dos aplicativos executando

8.2. Ferramenta Helix e DD

Para se coletar os dados da memria com o Helix necessrio uma ferramenta chamada DD que est inclusa no CD do Helix, esta ferramenta torna possvel

39

realizar um dump da memria, ou seja, realizar uma cpia do contedo da memria. A Figura 16 demonstra onde esta a ferramenta, deve-se selecionar a opo \\.\PhysicalMemory em seu campo Source aps selecionar esta opo necessrio informar onde o arquivo gerado dever ser gravado, para evitar maiores alteraes no contedo do HD (Hard Disk) do equipamento este arquivo deve ser gravado em uma mdia diferente do mesmo, ou seja, um pen drive ou HD externo ou outro computador atravs da opo NetCat, a qual torna possvel enviar este arquivo pela rede a um equipamento que esteja executando o NetCat, para isto basta informar o endereo IP (Internet Protocol) do computador remoto e a porta utilizada para a comunicao. Aps estas opes selecionadas necessrio clicar no boto Acquire.

Figura 16: Ferramenta para recuperar o contedo da memria

Aps o arquivo image.dd ser gerado este arquivo pode ser analisado atravs de ferramentas que possibilitem visualizar o contedo do arquivo.

40

Live Acquisition a forma de se obter uma imagem do computador quando o mesmo est ligado, afinal o equipamento que esta sendo auditado pode ser um servidor que no pode ser desligado. Live Analysis utilizada quando o profissional evita desligar o equipamento devido ao receio de perder dados importantes para a investigao, ou seja, os dados volteis, neste caso realizada a captura do contedo da memria do computador e se faz necessrio uma Ata Notarial.

8.3. Ferramenta Volatility

A ferramenta Volatility capaz de analisar o contedo coletado da memria de um computador. Esta ferramenta gratuita e pode ser obtida atravs de um download, necessrio tambm que seja instalado previamente no computador que executar a ferramenta o Python na sua verso mnima 2.5. Atravs de comandos no prompt do MS-DOS (MicroSoft Disk Operating System) possvel analisar o arquivo image.dd gerado anteriormente pela ferramenta DD. possvel atravs destes comandos obter os processos que esto em execuo na memria do equipamento, arquivos utilizados, conexes entre outras diversas informaes. A Figura 17 mostra como possvel atravs do comando python volatility pslist f d:\tst\image\image.dd obter a listagem dos processos em execuo na memria, sendo possvel observar tambm as identificaes de PID (Process ID) dos processos e a data e hora em que foram iniciados.

41

Aps listar os processos em execuo na memria possvel obter o arquivo executvel com o comando python volatility procdump m disk p 1700 f d:\tst\image\image.dd, o arquivo executvel ser gravado no diretrio onde esta sendo executado o Volatility e pode ser posteriormente analisado com uma ferramenta desassembler, possibilitando investigar o que o programa faz. Tambm possvel obter as conexes que estavam estabelecidas no equipamento quando a memria foi coletada. Para isso basta utilizar o comando python volatility connections f d:\tst\image\image.dd, conforme a Figura 18 mostra.

Figura 17: Listagem dos processos pela ferramenta Volatility

Figura 18: Relao das conexes ativas pela ferramenta Volatility

42

O contedo deve ser analisado da forma que se encontra pelo perito, a anlise pode levar um bom tempo, porm pode trazer dados muito importantes para a investigao. Existem diversas ferramentas algumas pagas e outras sem nenhum custo, entre as ferramentas pagas uma das mais destacadas a ferramneta EnCase (http://www.guidancesoftware.com/products/ef_index.asp), a qual uma soluo muito completa e com muitos recursos e tambm as ferramentas F-Response (http://www.f-response.com), esta ltima com a proposta de realizar a anlise de memria remotamente somente apenas como leitura, ou seja, realizado um acesso remoto ao computador investigado apenas lendo o contedo da memria sem nenhuma escrita.

8.4. Os perigos da anlise de memria online

A anlise de memria online, ou seja, enquanto o equipamento est ligado e com processos em execuo pode ser muito vantajosa, pois atravs dela pode-se obter um contedo muito precioso para a investigao. Porm, esta anlise um tanto quando perigosa j que um atacante pode utilizar mtodos anti-forenses. De acordo com Branco e Balestra (2008, p. 28)
Quando um auditor se depara com um ambiente completamente hostil, (por exemplo, quando a mquina auditada propriedade de um criminoso) sabe-se que a memria do sistema pode ser realmente importante (principalmente porque existem muitos arquivos do sistema criptografados [...]).

Um atacante que possua um rootkit adequado, ou seja, um conjunto de ferramentas adequadas pode realizar diversas modificaes na memria do equipamento at mesmo provocando uma limpeza dessa memria antes do perito realizar um dump do contedo, ou seja, uma cpia do contedo da memria o que poderia comprometer toda as evidncias contidas na memria. Cada rootkit tem uma forma diferente de ocultar a presena de um malware, fazendo assim com que para cada caso seja adotada outra forma de se efetuar a deteco da presena do rootkit mesmo que seja uma pequena diferena na forma de esconder a presena do programa (FARMER e VENEMA, 2007).

43

9. CONCLUSO
Assim como na percia forense convencional a percia forense computacional deve se adequar a cada dia buscando novas formas de se obter as evidncias necessrias para a investigao dos crimes, j que existe uma crescente demanda dos crimes realizados com o uso de computadores e pela internet. Como nos casos de percia microbalstica onde a arma manuseada para efetuar o disparo em ambiente de laboratrio, assim por dizer modificando o seu estado desde a apreenso e para a coleta de impresses digitais, em sua forma latente so utilizados elementos qumicos como ferramentas que tornam possvel a coleta destas evidncias. O que se observa que possvel a coleta do contedo da memria do equipamento no momento da apreenso e aps realizar a percia atravs de ferramentas que podem obter os dados contidos na memria do equipamento. Como mostrado neste trabalho existem ferramentas que tornam possvel a coleta dos dados contidos na memria do equipamento, porm para que a evidncia seja aceita em um tribunal como prova vlida de um crime necessrio que o procedimento desde sua coleta at sua percia no tenha falhas. Para isso o profissional que realizar a percia deve estar certo de que o procedimento realizado o mais adequado para cada caso. Ainda para contribuir muito para que esta evidncia seja aceita existe a Ata Notarial, um recurso que muitas vezes esquecido pelos profissionais, por exemplo, em um caso que envolva um risco grande de ser invalidado durante o processo de coleta das evidncias.

44

10. REFERNCIAS BIBLIOGRFICAS

ARAS, Vladimir. Crimes em informtica. Disponvel em: <http://www.informaticajuridica.com/trabajos/artigo_crimesinformticos.asp>. Acesso em: 28 de mar. 2008. BRANCO, R. R.; BALESTRA, F. A. Kernel Hacking & Anti-forensics: Evading Memory Analysis. Hackin9, maio de 2008. Disponvel em: <http://www.kernelhacking.com/rodrigo/docs/AntiForense.pdf>. Acesso em: 07 de nov. 2008. BUSTAMANTE, Leonardo. Computao Forense: Novo campo de atuao do profissional de informtica. Disponvel em: <http://imasters.uol.com.br/artigo/4288/forense/computacao_forense__novo_campo_de_atuacao_do_profissional_de_informatica>. Acesso em: 02 de jun. de 2008. ELEUTRIO, Fernando. Anlise do conceito de crime: Disponvel em: <http://www.uepg.br/rj/a1v1at09.htm>. Acesso em: 20 de fev. 2008. FARMER, D.; VENEMA, W. Percia forense computacional: Teoria e prtica aplicada. Traduo Edson Furmankiewicz, Carlos Schafranski, Docware Tradues Tcnicas. So Paulo: Pearson Prentice Hall, 2007. Ttulo original: Forensic Discovery. FBI. Handbook of Forensic Science, Revised 2003. Disponvel em: <http://www.fbi.gov/hq/lab/handbook/forensics.pdf>. Acesso em: 08 de nov. de 2007. NOGUEIRA, Jos Helano Matos. A nova face do crime. Revista Percia Federal. Ano III n 9, julho 2001. REZENDE, A. C. F. Sobre a F Pblica. Disponvel em: <http://www.irib.org.br/biblio/Rezende.asp>. Acesso em: 07 de jun. de 2008. SATO, Eduardo Makoto. O que e como funciona o confronto microbalstico?. Revista Percia Federal. Ano IV n 15, Setembro/Outubro de 2003. SECURITYFOCUS, S. G. Masood. Malware Analysis for Administrators: Disponvel em: <http://www.securityfocus.com/infocus/1780 >. Acesso em: 08/11/2007. SHINDER, Debra Littlejohn. Syngress Scene of Cybercrime: Computer Forensics Handbook. Rockland: Syngress Publishing, Inc, 2002. SILVA NETO, Amaro Moraes e. A Importncia da Ata Notarial para as Questes Relativas ao Ciberespao. Disponvel em: <http://www.buscalegis.ufsc.br/arquivos/ciberespa%E7o.pdf>. Acesso em: 01 de set. de 2008. U.S. Departament of Justice, Federal Bureal of Investigation. Handbook of Forensic Science, 1994. ZARZUELA, Jos Lopes. Temas fundamentais de criminalstica. Porto Alegre: Sagra Luzzatto, 1996. ZILLO NETO, Marcello. Segurana da Informao e Tecnologia: Disponvel em: <http://mzillo.blogspot.com/>. Acesso em: 08 de nov. de 2007.