Documente Academic
Documente Profesional
Documente Cultură
0502017 - 8 Semestre A
Jaguarina 2008
Monografia apresentada disciplina Trabalho de Graduao III, do Curso de Cincia da Computao da Faculdade de Jaguarina, sob a orientao do Prof. Ms. Slvio Petroli Neto, como exigncia parcial para concluso do curso de graduao.
Jaguarina 2008
COSTA, Daniel Moraes da. Boas Prticas para Percia Forense. Monografia defendida e aprovada na FAJ em 08 de dezembro de 2008 pela banca examinadora constituda pelos professores:
Dedico esta monografia aos meus queridos pais, Joo Geraldo da Costa e Maria O. Moraes da Costa, e meu irmo Giovani Moraes da Costa, por sempre me apoiarem e acreditarem em minhas escolhas. A todos os amigos que acreditaram em mim e me apoiaram sempre.
AGRADECIMENTOS
Primeiramente, agradeo a Deus por minha vida, sade, famlia, por me guiar pelos caminhos e sempre estar ao meu lado nas horas difceis e nunca me deixar desistir. Agradeo aos meus pais, Joo Geraldo da Costa e Maria O. Moraes da Costa, por todas as lies ensinadas, pela compreenso e dedicao em toda a minha vida. Ao meu irmo Giovani por sempre me incentivar a chegar a mais esta conquista e por acreditar em minhas escolhas. Em especial ao meu orientador Prof. Ms. Slvio Petroli Neto, pela orientao, por toda pacincia e ateno, confiana, seriedade, crticas, profissionalismo o qual se tornou um grande amigo. Agradeo imensamente ao grande profissional Marcello Zillo Neto, por aceitar me ajudar em todo este trabalho, pelo empenho e disposio, materiais, revises e crticas. Sua ajuda fez este trabalho de um sonho se tornar uma realidade. Agradeo a grande pessoa e profissional Eduardo Becker Tagliarini, por toda a ajuda, leitura, pacincia e por compartilhar muito de sua vivencia e experincia profissional comigo. Agradeo ao meu grande amigo Jos Luiz da Costa pelas dicas, crticas, sugestes, por todo o empenho e dedicao em me ajudar nesta conquista. Ao profissional Tony Rodrigues pelas dicas sobre anlise de memria e ferramentas utilizadas. A coordenao do curso e todos os professores que no decorrer de todo o curso se empenharam compartilhando o conhecimento e contribuindo imensamente para meu crescimento intelectual, pelas sugestes, crticas e dedicao. A todos os meus amigos pelos momentos de conversa, convivncia, compreenso, ajuda, companheirismo e pela troca de experincias em especial meus amigos Diego, Evandro, Pedro, Fbio, Bruno, Lawrence e Thiago. A todos que de alguma forma participaram desta minha conquista. Muito obrigado!
A luta pela verdade deve ter precedncia sobre todas as outras. (Albert Einstein)
COSTA, Daniel Moraes da. Boas Prticas para Percia Forense. 2008. Monografia (Bacharelado em Cincia da Computao) Curso de Cincia da Computao da Faculdade de Jaguarina, Jaguarina.
RESUMO
Com a evoluo das tecnologias e o uso cada vez maior da informtica na sociedade, os crimes tambm atualmente fazem uso desta tecnologia. A cada dia torna-se mais primordial a anlise de computadores pela percia forense computacional, j que muitos criminosos utilizam recursos de criptografia como mtodos anti-forenses visando assim retardar e at mesmo impedir a investigao de um equipamento. A percia forense computacional preza muito pela integridade e preservao dos dados, ou seja, nada pode ser alterado e neste caso o uso do contedo da memria seria invalidado j que o mesmo deixa de existir assim que o equipamento desligado. O objetivo deste trabalho demonstrar a possibilidade ou no de se obter o contedo da memria do equipamento no momento da apreenso baseado em metodologias de pericia convencional como a balstica forense e a papiloscopia forense onde as provas so manuseadas para se obter a veracidade dos fatos, ou seja, tal fato s permitido devido metodologia poder ser comprovada e aceita perante um tribunal. No caso da percia forense computacional o contedo da memria deixando de existir assim que o equipamento for desligado necessrio que algo possa validar esta investigao j que no contedo da memria podem existir arquivos descriptografados. Atualmente existem ferramentas que permitem realizar uma cpia do contedo da memria, porm para tal fato ser aceito e validado necessrio que o mesmo possua f pblica e para isso faz-se necessrio a utilizao de um recurso muitas vezes esquecido pelos profissionais a Ata Notarial que possibilita que um procedimento seja todo documentado por um tabelio o qual dotado de f pblica fazendo assim com que o procedimento realizado pelo profissional tambm tenha f pblica perante o tribunal.
Palavras-chave: PERCIA, FORENSE, COMPUTACIONAL, ANLISE, MEMRIA.
SUMRIO
LISTA DE FIGURAS .............................................................................................................. 9 LISTA DE ABREVIATURAS E SIGLAS ............................................................................... 10 1. INTRODUO................................................................................................................. 11 2. CRIMINALSTICA ............................................................................................................ 13 3. CRIMES........................................................................................................................... 14 4. CRIMES COMPUTACIONAIS ......................................................................................... 15 5. PERCIA FORENSE ........................................................................................................ 23 6. PERCIA FORENSE COMPUTACIONAL ........................................................................ 26 7. TCNICAS DE PERCIA FORENSE................................................................................ 30 7.1. Confronto microbalstico ............................................................................................... 30 7.2. Papiloscopia ................................................................................................................. 34 7.3. Anlise de memria ...................................................................................................... 35 8. FERRAMENTAS DE PERCIA COMPUTACIONAL ......................................................... 37 8.1. Ferramenta Helix .......................................................................................................... 37 8.2. Ferramenta Helix e DD ................................................................................................. 38 8.3. Ferramenta Volatility ..................................................................................................... 40 8.4. Os perigos da anlise de memria online ..................................................................... 42 9. CONCLUSO .................................................................................................................. 43 10. REFERNCIAS BIBLIOGRFICAS ............................................................................... 44
LISTA DE FIGURAS
Figura 1: SPAM enviado por e-mail ..................................................................................... 16 Figura 2: Falsa tela de site do homebank ............................................................................ 17 Figura 3: Tela falsa questionando usurio ........................................................................... 18 Figura 4: Cracker solicita as letras do carto do usurio...................................................... 18 Figura 5: Cracker solicita todas as combinaes do carto da vtima .................................. 19 Figura 6: Cracker solicita senha pessoal da vtima .............................................................. 19 Figura 7: Comunicado ao usurio sobre manuteno do site............................................... 20 Figura 8: Certificado de segurana clonado......................................................................... 20 Figura 9: Cartucho de munio de arma de fogo (SATO, 2003) .......................................... 31 Figura 10: Cartucho na cmara pronto para o disparo (SATO, 2003). ................................. 32 Figura 11: Comparao microbalstica de projteis (SATO, 2003)....................................... 33 Figura 12: Cpsulas percutidas pela mesma arma apresentando marcas da culatra em forma de linha paralela (SATO, 2003).................................................................................. 33 Figura 13: Confronto das marcas de culatra estampadas esquerda do sinal de percusso. As setas indicam que as marcas coincidem em ambas as cpsulas (SATO, 2003). ............ 34 Figura 14: Ferramenta Helix ................................................................................................ 37 Figura 15: Listagem dos aplicativos executando.................................................................. 38 Figura 16: Ferramenta para recuperar o contedo da memria ........................................... 39 Figura 17: Listagem dos processos pela ferramenta Volatility.............................................. 41 Figura 18: Relao das conexes ativas pela ferramenta Volatility...................................... 41
11
1. INTRODUO
Desde os primrdios a sociedade convive com os crimes e a violncia, a sociedade evoluiu, com isso tambm os crimes e a violncia. Para tentar manter a ordem foram estabelecidas leis pelas autoridades. A evoluo da sociedade foi acompanhada pelo avano tecnolgico que cada vez mais atinge as diferentes camadas da sociedade. Os crimes crescem a cada dia e para que um indivduo seja condenado necessrio que todo o rito processual seja cumprido. Parte desse rito a materializao do crime cometido, a qual ser feita atravs da criminalstica, quando da realizao dos exames periciais. De acordo com Zarzuela (1996, p. 9),
Para a criminalstica, o delito, como um ato humano, deve ser apontado e comprovado de forma cientfica ou tcnica, no importando as causas, circunstncias ou peculiaridades que conduziram o indivduo sua prtica.
Esse o papel da Percia Forense, que tem como objetivo demonstrar, atravs de mtodos cientficos, a verdade, auxiliando na tomada de deciso final nos casos judiciais. Atualmente a percia forense utilizada em praticamente todos os casos, porm com metodologias e exigncias diferentes para cada tipo de crime investigado. Este trabalho visa realizar uma comparao entre as metodologias de percia forense convencionais de outras reas e a Percia Forense Computacional (PFC), mostrando se possvel quebrar alguns paradigmas da PFC, reproduzindo a metodologia de percia forense convencional para o mundo computacional. Com a constante evoluo das tecnologias na rea computacional, a PFC tem sido cada vez mais dificultada, pois, existem atualmente alguns paradigmas que muitas vezes tornam a anlise e levantamento de evidncias menos til e gil do que poderiam ser. Vale destacar a utilizao cada vez maior de tcnicas e ferramentas que venham a dificultar a prtica delituosa e seu autor, tornando ainda mais necessrio o desenvolvimento de novos mtodos de busca por evidncias digitais. De acordo com Zillo Neto (2008),
Todos os dias novas tecnologias surgem e da a necessidade de novas preocupaes com segurana, novas especificaes, novos padres, e antes mesmo de implementarmos novas tecnologias seguras, aparecem outras, depois outras e sucessivamente, realmente vira uma corrida contra o tempo [...]
A PFC atualmente zela muito pela coleta e guarda das provas de forma a evitar alteraes e quebra de integridade das mesmas, ou seja, as provas analisadas devem permanecer da forma que foram encontradas (SHINDER, 2002). Porm, muitas provas como ameaas digitais que cada vez mais se utilizam de mecanismos de criptografia, s podem ser analisadas quando esto em execuo ou com o equipamento ligado, onde
12
sofrem pequenas alteraes (SECURITYFOCUS, 2007). Nestes casos s possvel analisar a prova se ocorrer uma pequena alterao. Em outras reas da percia, como a criminal, a prova "alterada" sem contestao, desde que o mtodo utilizado seja cientificamente comprovado e reconhecido. No procedimento de percia de uma arma de fogo, por exemplo, deve ocorrer o disparo com a arma em ambiente de laboratrio para analisar a prova do possvel crime, ao ser efetuado o disparo da arma ocorre uma alterao de provas. Isso no diz que a prova seja modificada a ponto de tornar inadmissvel a percia, porm a mesma precisa ser manuseada e preparada para a anlise. E por que isso no contestado? Devido ao mtodo utilizado poder ser cientificamente comprovado e reconhecido, a prova examinada em suas condies originais, fazendo com que o mesmo seja aceito (U.S. Departament of Justice FBI, 1994). Isso tambm ocorre na coleta de digitais que esto presentes na cena do crime de forma latente, onde s possvel a coleta atravs do uso de elementos qumicos, os quais so utilizados para perpetuar a prova, mas no comprometendo a anlise ou danificando-a.
13
2. CRIMINALSTICA
A criminalstica considerada uma disciplina nascida da Medicina Legal, esta quase to antiga quanto a prpria humanidade. Isto porque nas pocas passadas o mdico era pessoa de grande saber sendo, portanto sempre consultado, mas com os avanos dos diversos ramos das cincias, como a Qumica, a Biologia e a Fsica, houve a necessidade de especializao, o que fez com que outros profissionais passassem a ser consultados. Afirma-se que a criminalstica nasceu com HANS GROSS, o qual considerado o pai, j que foi ele quem cunhou este termo, juiz de instruo e professor de direito penal austraco, autor da obra System Der Kriminalistik, em 1893. Considerada um manual de instrues dos juzes de direito, a qual definia a criminalstica como O estudo da fenomenologia do crime e dos mtodos prticos de sua investigao. Criminalstica definida como disciplina cujo objetivo o reconhecimento e interpretao dos indcios materiais que no fazem parte do corpo humano ou identidade das pessoas envolvidas no delito. Englobando conhecimentos estruturados em vrias outras disciplinas como a Matemtica, Qumica, Tecnologia, a criminalstica tem como objetivo principal, a ampliao do conhecimento e desenvolvimento de novas tcnicas para o aperfeioamento da evidncia, fornecendo assim a justia provas objetivas. A criminalstica pode ser dividida em duas fases, sendo a primeira aquela em que se buscava a verdade atravs de mtodos primitivos, mgicos ou atravs da tortura, considerando que na maioria das vezes no se conseguia obter uma confisso do acusado de forma espontnea. A segunda fase procurava a verdade atravs de mtodos racionais, surgindo assim os fundamentos cientficos da criminalstica deixando de lado as crenas nos milagres e mgicas. Paralelamente verificou-se que atravs das cincias naturais possvel interpretar os vestgios do delito atravs da analise das evidncias do fato e sua autoria. Desde o seu surgimento a criminalstica visa estudar o crime de forma a no distorcer os fatos, zelando pela integridade e sempre perseguindo a evidncia de forma a oferecer a justia, um meio de obter os argumentos decisrios para a prolao da sentena (ZARZUELA, 1996).
14
3. CRIMES
Crime definido como toda a ao ou omisso, tpica, antijurdica, tal que: a) Ao ou omisso: Significa que o crime sempre praticado atravs de uma conduta positiva (ao). Ou atravs de uma forma negativa (omisso). b) Tpica: Significa que a ao ou omisso praticada pelo criminoso deve ser tipificada, isto , descrita em lei como delito. c) Antijurdica: Significa que a conduta sendo ela positiva ou negativa, alm de tpica, deve ser antijurdica, isto , contrria ao direito. Ser antijurdica a conduta que no encontrar uma causa que venha a justific-la. d) Culpvel: Significa o que se passa na mente do criminoso que praticou um delito, podendo ter desejado um resultado criminoso (agiu com dolo direto); ter se arriscado e produzido um resultado criminoso (agiu com dolo direto eventual); ou, ainda no ter desejado aquele resultado criminoso, mas o mesmo ocorreu por imprudncia, negligncia ou impercia (agiu com culpa) (ELEUTRIO, 2008). Para que um crime seja considerado, necessrio percorrer toda uma rota de evidncias, apreciando e analisando todas as caractersticas que o delito deve apresentar e apenas depois disso chegar a uma concluso. O conceito de crime ainda esta em evoluo, porm acredita-se que o conceito adotado perdurar por muito tempo (ELEUTRIO, 2008).
15
4. CRIMES COMPUTACIONAIS
Os crimes computacionais, crimes eletrnicos, crimes informticos, entre outros termos utilizados surgiram no final do sculo XX e compreendem todas as formas de conduta consideradas ilegais realizadas utilizando o computador, como a pirataria de softwares, manipulao de dados ou informaes, espionagem, acesso no autorizado a redes e computadores, abusos nos sistemas de telecomunicao entre muitos outros. Desde o seu surgimento os crimes computacionais tm preocupado o mundo, porm, no h um consenso para a classificao dos crimes computacionais. Para ARAS (2008) na doutrina brasileira, tem-se asseverado que os crimes informticos podem ser puros (prprios) e impuros (imprprios). Porm, atualmente no Brasil no existe uma lei especifica que trate dos crimes de informtica, o que existe apenas um projeto de lei, o qual est em trmite no congresso e o que ocorre o uso de equipamentos de informtica para a prtica de delitos tipificados como: extorso, difamao, calnia, injria, furto. Os crimes considerados puros ou prprios so aqueles praticados atravs do computador os quais se realizam tambm por meio eletrnico, onde a informtica o objeto jurdico tutelado. J nos crimes considerados impuros ou imprprios so aqueles em que para se produzir o resultado naturalstico que atue no mundo fsico ou o espao real, lesando outros bens no-computacionais da informtica (DAMSIO apud ARAS, 2008). Muitos crimes realizados com o uso da internet podem ser considerados como prprios ou imprprios, como o pishing, trojan e spam. Atualmente estes crimes geram prejuzos enormes, os bancos estipulam valores em centenas de milhes de reais. O pishing um tipo de fraude eletrnica com o objetivo de se obter dados valiosos para posteriormente realizar uma fraude ou um roubo. Estas informaes so obtidas atravs de sites falsos, e-mails falsos usando sempre de pretextos falsos para enganar a quem recebe a mensagem. No caso do trojan ou cavalo de tria, tem como principal objetivo entrar no computador e liberar o acesso do mesmo atravs de uma porta para que o criminoso possa acess-lo posteriormente e procurar por senhas no computador da vtima. O spam toda mensagem enviada para vrios destinatrios que no solicitaram a mesma. O termo spam nome de um tipo de carne enlatada da empresa norte-americana Hormel Food, este termo tornou-se sinnimo de incomodo na dcada de 70 em um dos episdios de um grupo humorstico ingls Monty Pyton, no qual o grupo de vikings repetia incansavelmente a palavra spam, importunando a todos que estavam em um bar. Com o
16
surgimento da internet o termo spam virou sinnimo de mensagens indesejadas. Muitas vezes estas mensagens trazem links para pishing e trojans. A Figura 1 retrata um e-mail com a inteno de fazer com que a vtima execute um programa que ser instalado no computador para posteriormente obter seus dados, um cavalo de tria.
No mundo digital adotado o termo hacker para descrever o criminoso que atua neste meio, apesar de no haver um consenso entre autores estes so divididos em vrios outros termos de acordo com o tipo de crime cometido (NOGUEIRA, 2001). Hackers em geral so simples invasores de sistemas, os quais realizam tais invases como forma de desafiar seus prprios conhecimentos e segurana de sistemas informatizados do governo ou grandes empresas privadas, tendo como objetivo o reconhecimento de suas habilidades mesmo que agindo de forma annima, apenas por assim dizer para alimentar o seu ego. No inicio foram recebidos como os grandes heris da
17
informtica,
pois
atravs
de
seus
atos
teriam
contribudo
diretamente
para
aperfeioamento dos computadores pessoais e corporativos, a segurana dos sistemas informticos bem como para o desenvolvimento da indstria do software. Estes hackers por sua contribuio e tambm por no terem como objetivo o abuso ou furto de informaes ou prejuzo a empresas e governo so considerados os hackers ticos. Os crackers so considerados os hackers antiticos, pois agem como os hackers, porm utilizam o seu conhecimento para invadir sistemas informticos, furtar informaes, adulterar dados, prejudicar pessoas, empresas, governos e o que mais for necessrio para obter o que desejam, causando os mais diversos tipos de prejuzo as vitimas e tambm a sociedade. A Figura 2 exibe a tela fraudada do site de um banco, esta tela exibida logo aps o usurio efetuar o seu login na pgina principal do banco. Como nota-se o nome do usurio no informado e falta a comunicao de que se o nome no estiver correto necessrio entrar em contato com a equipe tcnica. Nota-se que o site possui um certificado se segurana pelo cadeado exibido no browser.
Na Figura 3 aps o usurio informar os dados de sua agncia e conta, o correto seria abrir uma pgina com o menu principal do homebank, porm ao invs desta pgina, exibida uma pgina em que o usurio questionado sobre o recebimento de um carto que contendo dados que servem como uma chave de segurana. Dependendo da opo em que o usurio clicar, SIM ou NO, a seqncia de obteno de dados ser diferente, neste caso optou-se por clicar em SIM.
18
A Figura 4 a tela exibida ao usurio aps o mesmo clicar na opo SIM na Figura 3, nesta pgina o cracker, solicita que a vtima informe as letras que esto em seu carto, fato este que no solicitado no site verdadeiro do banco.
Na Figura 5 nota-se que o cracker novamente solicita que a vtima informe todas as combinaes possveis descritas em seu carto. Este procedimento no deveria ser solicitado, j que essa combinao tem por funo oferecer segurana, e tal solicitao vai diretamente contra tal funo.
19
Na Figura 6 solicitado que a vtima informe sua senha pessoal de transao bancria pelo homebank, nota-se que no a senha para acesso ao homebank, e sim a senha que permite a realizao de transaes bancrias.
Aps informar a sua senha, a vtima recebe um comunicado de que no momento o site do homebank, se encontra em manuteno e solicita que a vtima acesse o site posteriormente, conforme a Figura 7. Aqui observado outro ponto importante, os avisos de manuteno do site so feitos antes de o usurio inserir qualquer tipo de senha bloqueando o acesso ao site. Essa comunicao nunca feita aps a insero de todos os dados, ficando claro que se trata de um site falso.
20
Alguns especialistas dizem que um modo de se identificar um site bancrio falso clicando no cadeado que aparece na lateral direita da extremidade inferior da pgina. Tal informao tem como embasamento de que ao se clicar no cadeado do site falso, este no abrir uma nova janela contendo os dados do certificado. Mas como se pode observar na Figura 8, isto no verdade.
21
Os phreakers so os hackers por assim dizer especializados em fraudar sistemas de telecomunicao, fraudando linhas de telefone convencionais e celulares para fazer uso destas de forma gratuita. O Lamer o indivduo que realiza seus ataques baseado em informaes encontradas em sites e livros de hackers para invadir redes ou computadores pessoais com segurana frgeis. O Wannabe o indivduo que se intitula hacker ou cracker, porm ainda no possui o conhecimento necessrio para denominar-se assim. De posse de programas para realizar invaso a computadores apenas sabe como utiliz-los e no os conhece a fundo o funcionamento dos mesmos. O Wizard tido entre os criminosos como o mestre dos hackers, seus conhecimentos so profundos e variados, no sendo necessariamente mal-intencionado. Tem o status de mito, com direito a lendas e casos sobre ele (NOGUEIRA, 2001). No mundo computacional ainda existem vrias outras definies para os criminosos eletrnicos, como os cyberpunks e os cyberterrorists que aplicam seus conhecimentos para o desenvolvimento de vrus de computador com objetivos de sabotar redes de computadores, roubar dados confidenciais e em alguns casos realizar ataques de negao de servio. Apesar de todas as definies utilizadas para os criminosos eletrnicos a grande maioria das pessoas utiliza a palavra hacker para identificar o criminoso. Os crimes computacionais podem ocorrer de diversas formas utilizando-se de recursos como a Engenharia Social onde nem mesmo necessrio conhecimento tcnico, mas o importante ter o conhecimento do comportamento humano afim de que se consigam as informaes do alvo atingido de forma que ele mesmo no perceba que estas foram passadas. Quebras de senha tambm so ataques comuns, pois nesses casos os hackers tentam obter as senhas de redes as quais esto conectados utilizando-se de vrios mtodos como, por exemplo, o ataque de fora bruta onde so efetuadas vrias tentativas at que se consiga descobrir a senha e credencial correta ou atravs de programas quebradores de senha os quais tambm utilizam tentativa e erro para a descoberta de credenciais. Existem tambm os ataques de backdoor, ou porta dos fundos, onde os programadores deixam portas abertas em programas para futuras manutenes. Os ataques DoS (Denial of Service), ou seja, um ataque com o objetivo de realizar solicitaes a um mesmo computador atravs de uma rede de computadores, fazendo com que o mesmo no consiga atender a todos os chamados onde o computador atacado fica inoperante (NOGUEIRA, 2001).
22
No so incomuns atualmente casos de perseguio, ameaas, pedofilia, violao de privacidade, crimes contra a honra, liberdade individual atravs de computadores. Nestes casos ento o computador serve como o instrumento do crime, ou seja, so diversos crimes j conhecidos executados atravs de um computador (SHINDER, 2002). Todos estes crimes mostram o quanto inevitvel e imprescindvel a atuao da Justia Penal na informtica, porm para assessorar a mesma so necessrias metodologias cientficas capazes de identificar seus autores e neste momento em que a percia forense entra para auxiliar a Justia.
23
5. PERCIA FORENSE
O termo Percia vem do latim e significa destreza, competncia e habilidade, e Forense se refere ao foro judicial, relativo aos tribunais. Pode-se dizer ento, que a percia forense o termo adotado para identificar os mtodos cientficos da criminalstica para se identificar e obter a evidncias necessrias para o auxilio da justia. A percia forense trabalha investigando o fato de um crime buscando materializar o ato criminoso, por meio da confeco de provas de ordem tcnico-cientfica, que comprovem a veracidade do fato, de forma a no deixar dvida sobre as evidncias investigadas. Tal funo deve-se ao fato de que o juiz, pessoa dotada de grande conhecimento jurdico, no dispe de grande saber cientfico, o que torna obrigatrio a presena dos Peritos, profissionais detentores de grande conhecimento em reas cientficas e de confiana do juiz, o qual utilizar de seus conhecimentos para realizao da percia no objeto questionado (indcio), sendo que o resultado de seu trabalho ser exposto por meio de um laudo, o qual deve ter uma linguagem simples, mas sem omitir dados tcnicos, que possam ser compreendidos por no especialistas (BUSTAMANTE, 2006). O perito um profissional altamente capacitado e atualizado o qual possui a habilidade necessria para tal tarefa, utilizando meios cientficos, tcnicos ou artsticos para provar a veracidade do fato em questo elaborando aps a anlise de todas as evidncias um laudo tcnico pericial o qual passa a ser uma das provas que compem um processo judicial. Um exame pericial pode consistir em percia realizada em mveis, pessoas, equipamentos, entre muitos outros. O cargo de Perito Criminal dotado de f pblica, ou seja, o que constatado no laudo pericial tido como verdade, afinal o perito uma pessoa idnea e imparcial. De acordo com Rezende (2008),
[...] a f pblica no abriga apenas o significado de representao exata e correta da realidade, de certeza ideolgica, mas tambm de um sentido altamente jurdico, ou seja, fornece evidncia e fora probante atribuda pelo ordenamento, quanto interveno do oficial pblico em determinados atos ou documentos. O valor jurdico e a certeza implicam que a f pblica pressupe a correspondncia da realidade, cuja firmeza tutelada pelo Direito.
Nos casos em que um perito no possua f pblica ligada diretamente ao seu cargo, como no caso de um perito nomeado pelo juiz ou at mesmo um perito particular, o mesmo poder ter seu laudo validado com f pblica atravs de um recurso no meio do direito a Ata Notarial. O recurso consiste na presena de um Tabelio junto ao perito o qual ir lavrar a ata narrando os fatos observados imparcialmente atravs dos seus sentidos durante a percia.
24
O poder certificante do notrio uma faculdade que a lei lhe d para, com sua interveno, evitar o desaparecimento de um fato antes que as partes o possam utilizar em proveito de suas expectativas. A f pblica , em todo o momento do negcio jurdico, o caminho mais efetivo para a evidncia [...]. Tudo se reduz interveno notarial que, com sua presena ou sua atuao, soleniza, formaliza e d eficcia jurdico ao que ele manifesta ou exterioriza por instrumento pblico, seja este escriturado ou no. Isto se relaciona, tambm, com o poder certificante do notrio, o que permite s partes em forma voluntria, escolher a forma e o modo de resolver seus negcios [...]; neste caso, como afirma Gatn, a funo notarial pode considerar-se como jurisdicional. O notrio, dentro de sua ampla gama de faculdades, lograr, com sua interveno, estabelecer a prova preconstituda, que h de servir de pauta legal, no momento em que seja necessrio solicit-la (YAES apud SILVA NETO, 2008). A ata notarial um documento pblico e tem o mesmo valor que uma escritura pblica e tudo isso se encontra na legislao brasileira (SILVA NETO, 2008): Artigo 364, CPC - O documento pblico faz prova no s da sua formao, mas tambm dos fatos que o escrivo ou o tabelio, ou o funcionrio declarar que ocorreram em sua presena. Artigo 217, CC/2002 - Tero a mesma fora probante os traslados e as certides, extrados por tabelio ou oficial de registro, de instrumentos ou documentos lanados em suas notas. Artigo 223, CC/2002 - A cpia fotogrfica de documento, conferida por tabelio de notas, valer como prova de declarao da vontade, mas, impugnada sua autenticidade, dever ser exibido o original. Pargrafo nico. A prova no supre a ausncia do ttulo de crdito, ou do original, nos casos em que a lei ou as circunstncias condicionarem o exerccio do direito sua exibio. A Percia Forense existe nos dois ramos bsicos do direito, o penal e o cvel, aqui includo o trabalhista. No ramo penal atua no estudo dos indcios produzidos pela prtica delituosa, seja de engenharia, ambiental, identificao de ossada, computacional, etc, e na
25
cvel, em todo litgio que podem ser dirimidos por meio de estudos tcnico-cientficos, como os casos de investigao de paternidade, ou seja, atua nos mais variados campos onde se v necessrio conhecimento tcnico especializado. No meio criminal observa-se o emprego da percia em anlises balsticas, exames de DNA, a papiloscopia que o processo de identificao atravs de impresses digitais, exames mdicos e anlises toxicolgicas de drogas. Nos crimes ambientais podemos observar o uso da percia no trfico de animais silvestres, desmatamentos, entre outros. Na engenharia o campo de atuao muito vasto, so cabveis em desapropriaes, usucapio, busca e apreenses. No mundo computacional observa-se a crescente demanda por este tipo de percia, com os crimes tomando novas formas e utilizando-se de novos meios, porm no deixando de existir e sim crescendo na mesma proporo do avano da tecnologia. Para o combate a estes crimes necessrio um profissional que esteja em aprimoramento tcnico-cientfico constante. Os crimes computacionais possuem tambm uma rea de atuao muito vasta, como a recuperao de dados, anlise de dados na internet, anlise de trfego de redes, anlise de vrus, anlise de ataques entre outras muitas possibilidades.
26
27
Para se iniciar um processo de percia computacional necessrio seguir procedimentos rigorosos, visando integridade das provas. So estes requisitos que tornam a prova admissvel em um tribunal. Primeiramente a prova deve ser obtida de forma legal atravs de um mandato de busca e apreenso. A maior parte dos profissionais que trabalham obtendo as provas necessrias para investigao concorda com alguns princpios bsicos (SHINDER, 2002): A prova original deve ser preservada em um estado to prximo quanto possvel do estado em que estava quando foi encontrado. Se possvel, uma cpia exata (imagem) do original deve ser feita, sendo que esta ser utilizada para anlise de forma a no prejudicar a integridade do original. A cpia dos dados deve ser realizada em uma mdia que esteja sem nenhuma informao pr-existente, ou seja, totalmente limpa e verificada que a mesma est livre de vrus e defeitos. Todas as evidncias devem ser etiquetadas, documentadas e preservadas, e cada passo da anlise forense deve ser documentado em detalhes. Os primeiros a chegar a cena do crime devem tomar algumas precaues para que se possa garantir a integridade das evidncias, tentando no modificar, desligar equipamentos ou obter provas, a menos que os mesmos sejam treinados em forense computacional, afinal, muitos criminosos podem deixar cavalos de tria e outros mecanismos que programem a destruio das provas do equipamento, assim que sejam desligados ou manipulados incorretamente. Os primeiros a chegar a cena do crime devem se preocupar com (SHINDER, 2002): Identificar a cena do crime: Verificar a extenso da cena do crime e definir um permetro. Isso pode incluir desde uma sala, vrias salas ou ainda edifcios inteiros se o suspeito estiver atuando em uma complexa configurao de computadores em rede. Proteger a cena do crime: quando se pretende obter evidncias digitais todos os equipamentos laptops, notebooks, desktops, PDAs (Personal Digital Assistant) entre outros devem ser protegidos. Estes itens podem ser limitados devido ao mandado mas at que o investigador do caso chegue no deve ser descartado nenhum equipamento. Preservar as evidncias frgeis e temporrias: no caso de evidncias que possam desaparecer antes dos investigadores chegarem, como informaes
28
sendo exibidas no monitor e mudando constantemente, os primeiros a chegar ao local do crime devem tomar quaisquer medidas possveis para preservar ou gravar estas evidncias. Se uma cmera estiver disponvel, fotos devem ser tiradas e na ausncia desta os presentes na cena do crime devem tomar notas detalhadas e estarem dispostos a testemunharem em um tribunal, sobre o que foi observado na cena do crime. Os investigadores ao chegarem a cena do crime podem se deparar com uma equipe j trabalhando na mesma, porm, a partir deste momento os mesmos devem ser coordenados pelo investigador policial, o qual tambm desempenha o seguinte papel (SHINDER, 2002): Estabelecer a cadeia de comando: o investigador snior deve garantir que todos esto cientes da cadeia de comando e as decises importantes so filtradas por ele. Computadores e demais equipamentos no devem ser desligados ou manuseados sem instrues diretas do investigador snior. Se o investigador a cargo da investigao precisar deixar a cena do crime deve designar um membro da equipe para que fique em seu lugar e tambm manter contato freqente com este durante toda sua ausncia. Conduzir a pesquisa na cena do crime: deve direcionar a pesquisa e anlise das evidncias na cena do crime, se o mandado de busca permitir deve-se verificar todo o hardware, software, manuais, notas escritas e tudo que se relacione ao uso dos equipamentos como computadores, notebooks, scanners, PDAs, disquetes, CDs (Compact Disk), DVDs (Digital Vdeo Disk), fitas, discos removveis e todos os demais discos que possam ser vistos ao redor. Manter a integridade da evidncia: os investigadores devem continuar a proteger as evidncias, como a preparao para preservar evidncias volteis, duplicando os discos e desligando os sistemas corretamente. O investigador deve supervisionar todas as aes tcnicas na cena do crime e transmitir todas as consideraes que devem ser tomadas com base na natureza do caso e conhecimento do suspeito. De acordo com Shinder (2002, p. 554),
Os tcnicos em crimes informticos devem ser treinados em computao forense possuindo uma slida experincia na rea de tecnologia computacional, conhecer como discos so estruturados, como trabalha o sistema de arquivos e como e onde os dados so gravados.
29
Geralmente os tcnicos em crimes informticos ou peritos em crimes informticos, so responsveis pelo seguinte (SHINDER, 2002): Preservar evidncias volteis e duplicar discos: informaes que esto na memria do equipamento, processos sendo executado, duplicar discos antes de desligar o equipamento. Desligar sistemas para transporte: desligar o equipamento de forma correta muito importante para que se possa garantir integridade da prova em alguns mtodos a forma correta encerrar todos os programas e desligar o computador normalmente, em outros se desliga o equipamento tirando o cabo de energia para evitar que algum programa destrua os dados durante o processo de desligar o equipamento normalmente. Este ltimo mtodo no deve ser adotado em sistemas baseados em UNIX, j que este procedimento pode danificar dados, alguns profissionais indicam mudar de conta de usurio atravs do comando su se a senha do usurio root for conhecida e utilizar o comando halt antes de desligar o equipamento. Etiquetar e anotar as evidncias: todas as provas devem ser marcadas com as iniciais do tcnico ou perito, hora e data em que foi coletada, nmero do processo e dados de identificao. Embalar os elementos de prova: evidncias digitais, principalmente as que possuem circuitos expostos como discos rgidos, devem ser embalados em sacos antiestticos para o transporte. Documentos e manuais devem ser embalados em sacos plsticos ou protegidos de outra forma. Transportar os elementos de prova: todas as evidncias devem ser transportadas o mais rpido possvel para sala de armazenamento de provas. Durante o transporte as evidncias no devem entrar em contato com campos magnticos (inclusive rdios policiais ou equipamentos eletrnicos no veculo), ficar expostas ao sol ou em locais com temperatura acima de 24 C. Processar os elementos de prova: a partir da cpia realizada dos discos deve-se realizar a percia no equipamento atravs de ferramentas forenses. Atualmente as tcnicas utilizadas pela PFC atentem aos requisitos necessrios para que se consiga a evidncia e a veracidade dos fatos de forma ntegra, porm o conceito de realizar uma cpia do contedo da memria ainda no um procedimento padro no sendo adotado usualmente.
30
31
Na Figura 9 observa-se que o cartucho de arma de fogo composto por quatro partes: projtil, estojo (ou cpsula), o propelente (ou plvora) e a espoleta (SATO, 2003).
O projtil atravessa o cano da arma e atinge o alvo, para isso a fora com que o mesmo acelerado dentro do cano da arma proveniente da plvora, pois a queima da plvora gera grande quantidade de gs, aumentando a presso interna e o projtil empurrado para frente. Para que a plvora queime necessrio que haja uma chama iniciadora, a qual fornecida pela espoleta que contm uma pequena quantidade de explosivo sensvel ao choque mecnico, ou seja, detona com percusso. A cpsula (ou estojo) o recipiente que contm o projtil na ponta, a plvora dentro e a espoleta na base (SATO, 2003). A Figura 10 demonstra como o cartucho fica alojado na cmara pronto para ocorrer o disparo.
32
O que torna possvel o confronto microbalstico o contato da superfcie lateral do projtil durante o disparo com a superfcie interna do cano da arma de fogo o qual produzir marcas e micro-estriamentos sobre a superfcie do projtil, marcas estas macroscpicas e microscpicas. Estas marcas so nicas, ou seja, estas marcas s podem ser geradas pela mesma arma nunca por outra (SATO, 2003). Para realizar a comparao balstica a arma apreendida manuseada e preparada em ambiente de laboratrio para que possa efetuar os disparos experimentais. De acordo com Zarzuela (1996, p. 40),
Na prtica rotineira dos Institutos de Criminalstica do pas, para proceder-se identificao individual de uma arma de fogo, realizam-se tiros experimentais em desaceleradores como gua, cinzas, serragem, algodo, glicose etc.
Aps os disparos experimentais os projteis experimentais so comparados com a evidncia lado a lado por um microscpio com cmera fotogrfica acoplada podendo verificar pequenas reas de um projtil mesmo que bastante deformado devido ao impacto. A Figura 11 mostra a superfcie lateral de dois projteis disparados pela mesma arma e comparados por microscpio.
33
Os cartuchos tambm podem ser verificados microscopicamente em busca de evidencias que comprovem que o mesmo foi marcado por determinada arma de fogo (FBI, 2003). A cpsula da munio tambm adquire marcas da arma, quando o percurtor se choca contra a espoleta, deixando marcas no local do contato e tambm a queima de plvora que aumenta a presso interna do cartucho faz com que o mesmo seja empurrado para trs, chocando-se com a culatra, fazendo com que o mesmo tenha as imperfeies da culatra impressas na base o cartucho, observadas na Figura 12 e Figura 13 (SATO, 2003).
Figura 12: Cpsulas percutidas pela mesma arma apresentando marcas da culatra em forma de linha paralela (SATO, 2003).
34
Figura 13: Confronto das marcas de culatra estampadas esquerda do sinal de percusso. As setas indicam que as marcas coincidem em ambas as cpsulas (SATO, 2003).
Este mesmo procedimento se aplica a instrumentos como alicates, chaves-defenda, etc. O que se faz sempre comparar as marcas deixadas (SATO, 2003).
7.2. Papiloscopia
A papiloscopia a tcnica utilizada para identificao humana atravs de impresses digitais, coleta de fragmentos em locais de crimes ou acidentes, anlise de retratos falados. Para isso atravs de reveladores papilares tornam possveis as identificaes. De acordo com Zarzuela (1996, p. 78),
Reveladores, sob o ponto de vista genrico, so substncias puras ou misturas capazes, fsica ou quimicamente de tornar visveis impresses papilares latentes. [...] So reveladores de impresses papilares latentes as substncias qumicas ou meios idneos capazes de torn-las visveis sem que ocorra reao qumica entre o revelador e os produtos de perspirao.
Para realizar a coleta de impresses digitais necessrio que a cena do crime esteja intacta, ou seja, sem nenhuma modificao garantindo a integridade das evidncias. Devem ser seguidos procedimentos que preservem a evidncia (FBI, 2003): Fotografar impresses latentes antes de qualquer tratamento; Examinar todas as evidncias visuais com uma luz laser ou outra fonte luminosa antes de usar qualquer outro processo de identificao latente; Quando utilizar processos para obter impresses latentes, consultar as instrues do fabricante e as fichas de segurana. Usar equipamento de proteo individual (por exemplo, culos de segurana, mscaras, luvas, etc);
35
Para se obter as impresses latentes de uma cena de crime podem ser utilizados reveladores compostos de vrias substncias qumicas puras ou misturas (ZARZUELA, 1996). Estas substncias qumicas ou misturas funcionam como ferramentas que tornam possvel obter as provas, como procedimentos que garantem a integridade da evidncia, fazendo com que a mesma seja aceita em um tribunal pelo juiz.
A forma mais simples de se descobrir como um programa se comporta execut-lo e observar o que acontece, porm este procedimento pode comprometer
36
toda a investigao afinal o programa pode vir a destruir todas as informaes do equipamento. Para executar este programa seria mais seguro que o mesmo fosse executado em um ambiente onde o mesmo no pudesse causar grandes danos, um ambiente controlado, ou como adotado pela balstica executar em uma caixa de areia, este termo emprestado da balstica, pois os peritos em balstica efetuam disparos de testes em caixas de areia fazendo com que os projteis no causem nenhum dano (FARMER e VENEMA, 2007). Como nas percias de armas de fogo e papiloscopia, na computao so utilizadas ferramentas para auxiliar o desenvolvimento da investigao bem como para obter a veracidade dos fatos, estas ferramentas so softwares especficos para este fim.
37
38
Estas ferramentas so indispensveis e contribuem imensamente na soluo dos casos, agilizando o processo de investigao e garantindo a integridade da anlise desenvolvida pelo profissional. Atravs do Helix possvel descobrir quais aplicativos esto sendo executados no momento em que a percia no equipamento realizada, isso de grande importncia no caso de o que se esteja procurando um malware, tornando possvel uma anlise no aplicativo atravs de ferramentas que possibilitam descobrir o que este aplicativo faz e como ele se comporta, buscando um entendimento mais profundo, o que tambm consome um tempo maior de investigao. Na Figura 15 possvel observar a listagem dos aplicativos que esto executando no momento da percia pela ferramenta.
39
realizar um dump da memria, ou seja, realizar uma cpia do contedo da memria. A Figura 16 demonstra onde esta a ferramenta, deve-se selecionar a opo \\.\PhysicalMemory em seu campo Source aps selecionar esta opo necessrio informar onde o arquivo gerado dever ser gravado, para evitar maiores alteraes no contedo do HD (Hard Disk) do equipamento este arquivo deve ser gravado em uma mdia diferente do mesmo, ou seja, um pen drive ou HD externo ou outro computador atravs da opo NetCat, a qual torna possvel enviar este arquivo pela rede a um equipamento que esteja executando o NetCat, para isto basta informar o endereo IP (Internet Protocol) do computador remoto e a porta utilizada para a comunicao. Aps estas opes selecionadas necessrio clicar no boto Acquire.
Aps o arquivo image.dd ser gerado este arquivo pode ser analisado atravs de ferramentas que possibilitem visualizar o contedo do arquivo.
40
Live Acquisition a forma de se obter uma imagem do computador quando o mesmo est ligado, afinal o equipamento que esta sendo auditado pode ser um servidor que no pode ser desligado. Live Analysis utilizada quando o profissional evita desligar o equipamento devido ao receio de perder dados importantes para a investigao, ou seja, os dados volteis, neste caso realizada a captura do contedo da memria do computador e se faz necessrio uma Ata Notarial.
41
Aps listar os processos em execuo na memria possvel obter o arquivo executvel com o comando python volatility procdump m disk p 1700 f d:\tst\image\image.dd, o arquivo executvel ser gravado no diretrio onde esta sendo executado o Volatility e pode ser posteriormente analisado com uma ferramenta desassembler, possibilitando investigar o que o programa faz. Tambm possvel obter as conexes que estavam estabelecidas no equipamento quando a memria foi coletada. Para isso basta utilizar o comando python volatility connections f d:\tst\image\image.dd, conforme a Figura 18 mostra.
42
O contedo deve ser analisado da forma que se encontra pelo perito, a anlise pode levar um bom tempo, porm pode trazer dados muito importantes para a investigao. Existem diversas ferramentas algumas pagas e outras sem nenhum custo, entre as ferramentas pagas uma das mais destacadas a ferramneta EnCase (http://www.guidancesoftware.com/products/ef_index.asp), a qual uma soluo muito completa e com muitos recursos e tambm as ferramentas F-Response (http://www.f-response.com), esta ltima com a proposta de realizar a anlise de memria remotamente somente apenas como leitura, ou seja, realizado um acesso remoto ao computador investigado apenas lendo o contedo da memria sem nenhuma escrita.
Um atacante que possua um rootkit adequado, ou seja, um conjunto de ferramentas adequadas pode realizar diversas modificaes na memria do equipamento at mesmo provocando uma limpeza dessa memria antes do perito realizar um dump do contedo, ou seja, uma cpia do contedo da memria o que poderia comprometer toda as evidncias contidas na memria. Cada rootkit tem uma forma diferente de ocultar a presena de um malware, fazendo assim com que para cada caso seja adotada outra forma de se efetuar a deteco da presena do rootkit mesmo que seja uma pequena diferena na forma de esconder a presena do programa (FARMER e VENEMA, 2007).
43
9. CONCLUSO
Assim como na percia forense convencional a percia forense computacional deve se adequar a cada dia buscando novas formas de se obter as evidncias necessrias para a investigao dos crimes, j que existe uma crescente demanda dos crimes realizados com o uso de computadores e pela internet. Como nos casos de percia microbalstica onde a arma manuseada para efetuar o disparo em ambiente de laboratrio, assim por dizer modificando o seu estado desde a apreenso e para a coleta de impresses digitais, em sua forma latente so utilizados elementos qumicos como ferramentas que tornam possvel a coleta destas evidncias. O que se observa que possvel a coleta do contedo da memria do equipamento no momento da apreenso e aps realizar a percia atravs de ferramentas que podem obter os dados contidos na memria do equipamento. Como mostrado neste trabalho existem ferramentas que tornam possvel a coleta dos dados contidos na memria do equipamento, porm para que a evidncia seja aceita em um tribunal como prova vlida de um crime necessrio que o procedimento desde sua coleta at sua percia no tenha falhas. Para isso o profissional que realizar a percia deve estar certo de que o procedimento realizado o mais adequado para cada caso. Ainda para contribuir muito para que esta evidncia seja aceita existe a Ata Notarial, um recurso que muitas vezes esquecido pelos profissionais, por exemplo, em um caso que envolva um risco grande de ser invalidado durante o processo de coleta das evidncias.
44