FACULDADE DE TECNOLOGIA DA ZONA LESTE

Auditoria de Sistemas

PERCIA FORENSE
COMPUTACIONAL
Daniel Dias - 142049-6
Nelson Romano Neto - 122071-3
Tatiane Oliveira - 122078-0

SET/2015

NDICE

1. INTRODUO .................................................................................... 1
2. BASE CONCEITUAL .......................................................................... 2
3. PRINCIPAIS CARACTERSTICAS ................................................... 6
4. APLICAO ........................................................................................ 7
5. EXEMPLIFICAO ............................................................................ 8
6. CONSIDERAES FINAIS ............................................................... 9
7. REFERNCIAS ................................................................................. 10

1. INTRODUO
1.1. Cenrio
Sabemos que os crimes e a realizao de prticas fraudulentas e
maliciosas ocorrem tambm no meio digital. O surgimento e a disseminao da
Internet tm intensificado ainda mais a ao de criminosos em todo o mundo.
A Percia Forense Computacional, uma cincia relativamente nova, surgiu
como uma forma de as agncias legais de vrios pases combaterem essas
ocorrncias ilegais, investigando esses casos a fim de punir os responsveis e
minimizar assim o impacto de suas atividades.

1.2. Tema com delimitaes

O tema do seminrio a Percia Forense aplicada ao meio computacional,
explorando seus conceitos bsicos, caractersticas e principais elementos,
mencionando tambm aspectos sobre a sua aplicao e trazendo exemplos
baseados em ferramentas existentes.

1.3. Objetivos

Apresentar definies sobre a Percia Forense Computacional e seus

conceitos fundamentais;

Descrever suas principais caractersticas;

Apontar sua aplicao (onde, como e por que utiliz-la);

Trazer exemplificaes de sua utilizao.

1.4. Metodologia adotada

Pesquisar, em fontes confiveis da literatura, definies e conceitos a

respeito do tema abordado.

Pesquisar aspectos sobre a aplicao da Percia Forense Computacional,

bem como as principais ferramentas utilizadas.

Buscar exemplos que ilustrem melhor sua utilizao.

Desenvolver um material visual (slides) que apresente de maneira

objetiva e sinttica o tema abordado;

2. BASE CONCEITUAL

2.1. Definies
Definies das palavras que compem o termo Percia Forense segundo
o Novo Dicionrio Aurlio da Lngua Portuguesa 2004:

Percia
(do latim peritia)
1. Habilidade, destreza.
2. Vistoria ou exame de carter tcnico e especializado.

Forense
(do latim forense)
1. Referente ao foro judicial.
2. Judicial.

Percia Forense Computacional

A Percia Forense Computacional uma cincia que engloba todos os
aspectos relacionados a crimes praticados por meio digital (ciber-crimes),
utilizando-se ou no de uma conexo com a Internet. Seu principal objetivo
coletar, validar, identificar, analisar, interpretar e documentar evidncias de um
crime ou de violaes realizadas por esse meio.

2.2. O destaque das atividades incomuns

Pesquisas demonstram que, de maneira geral, o comportamento comum,
tanto das aplicaes quanto dos usurios do sistema, acessar sempre os
mesmos arquivos que so, na maior parte das vezes, a minoria. Mais de 90%
dos dados armazenados em um computador ou at mesmo servidores de
Internet no so utilizados durante o perodo de at 1 ano.

A tabela acima (FARMER e VENEMA, p. 4) apresenta o trfego de rede

de alguns dos mais populares servidores UNIX, com a ordem crescente de
acesso aos arquivos neles armazenados em relao ao tempo.
A grande maioria dos arquivos em servidores Web relativamente tpicos no foi
absolutamente utilizada. (...). Sejam eles programas ou arquivos de configurao
no utilizados, ou repositrios de arquivos de e-mail, de notcias e dados etc., h
uma grande quantidade de arquivos juntando p. Padres semelhantes
emergem de PCs Windows e de outros sistemas desktop. (FARMER e VENEMA,
p. 4)

Dessa forma, as informaes sobre operaes mais recentes realizadas

em atividades comuns substituem os registros das operaes anteriores,
fazendo com que os seus vestgios desapaream, j que so acessados os
mesmos dados, programas e outros recursos repetidamente. Por sua vez, as
atividades menos comuns tendem, a manter vestgios das operaes realizadas
por um perodo de tempo mais longo.
Pensando nisso os especialistas consideram indispensvel isolar o
computador da rede e da utilizao de usurios a fim de evitar que alguma
atividade interfira no estado dos dados. Para eles o ideal realizar uma cpia de
todo o sistema para que a extrao dos dados ocorra em um ambiente que no
esteja em execuo, impedindo assim que alguma aplicao utilize os arquivos
ou outros recursos.

2.3. Custdia
Os dados originais utilizados para avaliao na anlise forense de um
sistema devem ser mantidos em seu estado puro, sendo que qualquer anlise

deve ser realizada em uma cpia dos mesmos a fim de se evitar a adulterao,
preservando-se assim a evidncia.
Os dados originais permanecem protegidos em um estado puro; qualquer
anlise deve ser realizada em uma cpia dos dados do computador. Isso algo
anlogo a filmar o local do crime de um assassinato a fim de impedir que um
vestgio seja destrudo (...). (FARMER e VENEMA, p. 5)

2.4. Ordem de volatilidade (OOV)

Alguns tipos de dados possuem menor tendncia do que outros a se
corromperem quando realizada uma coleta de dados em um sistema em
execuo. Por isso necessrio capturar as informaes de acordo com o ciclo
de vida esperado para cada tipo de dado.
A tabela a seguir (FARMER e VENEMA, p. 6) apresenta, em ordem crescente,
o ciclo de vida de alguns tipos de dados.

Essa relao de tipo de dados X ciclo de vida chamada ordem de

volatilidade (order of volatility - OOV), e a partir de dela deve se realizar um
cuidadoso planejamento para a coleta de dados em um sistema a ser analisado
por uma percia forense.
Seguindo essa ordem de volatilidade h uma maior probabilidade de se
preservar os detalhes mais efmeros que uma coleta de dados pode destruir, e
ela permite que voc capture dados sobre o incidente em questo, em vez de
simplesmente capturar os efeitos colaterais da sua sesso de coleta de dados!
(FARMER e VENEMA, p. 8)

2.5. Iluses em Camadas

A imagem da tela de um computador no um arquivo fsico. Ela gerada
por camadas sobre camadas de hardware e software. Veja na figura a seguir um
esquema de camadas (FARMER e VENEMA, p. 8).

Se um computador for invadido por um hacker, por exemplo, qualquer

uma dessas camadas pode ser adulterada, gerando iluses para o usurio do
sistema que interage com a tela. Softwares podem mentir, kernels de sistemas
operacionais podem mentir e at firmwares dentro das unidades de disco
podem mentir. (FARMER e VENEMA, p. 8).

2.6. Confiabilidade das informaes

O principal objetivo da Percia Forense Computacional tirar concluses
baseadas em informaes examinadas a partir de um sistema de computador.
Mas como podemos saber se essas informaes so mesmo confiveis? No
seriam elas apenas aquilo em que um invasor quer que acreditemos?
O ideal, segundo os especialistas (FARMER e VENEMA, p. 9)
buscarmos diversas fontes independentes sobre a mesma informao,
examinando cuidadosamente cada fragmento dela. Podendo-se evidenciar a

consistncia das informaes entre mltiplas fontes distintas podemos

considerar a informao mais confivel.

3. PRINCIPAIS CARACTERSTICAS

3.1. Obteno e Coleta de Dados

Os procedimentos adotados na coleta de dados devem ser formais,
seguindo toda uma metodologia e padres de como se obter provas para
apresentao judicial, como um check list, de acordo com as normas
internacionais de padronizao.

3.2. Identificao
Dentre os vrios fatores envolvidos no caso, extremamente necessrio
saber separar os fatos que possam vir a influenciar ou no um crime, para
estabelecer uma relao na qual se faz um levantamento das ligaes relevantes
como datas, nomes de pessoas etc., dentre as quais foi estabelecida a
comunicao eletrnica.

3.3. Preservao
Um perito forense computacional experiente tem que ter certeza de que
uma evidncia extrada dever ser adequadamente manuseada e protegida para
se assegurar de que nenhuma evidncia seja danificada, destruda ou
comprometida pelos maus procedimentos usados na investigao e que nenhum
vrus ou cdigo malicioso seja introduzido em um computador durante a anlise
forense.

3.4. Anlise
a pesquisa onde o investigador d foco aos elementos relevantes ao
caso em questo, pois todas as camadas de informao anteriores j foram
realizadas. Mais uma vez frisando que deve-se sempre ser um profissional
atento e cuidadoso na obteno das evidncias, as quais consiste em uma
demonstrao inquestionvel dos vestgios e elementos da comunicao entre

as partes envolvidas e seu contedo, alm das datas e trilhas dos segmentos de
disco utilizados.

3.5. Apresentao
a fase que chamada tecnicamente de substanciao da evidncia,
pois nela consiste o enquadramento das evidncias dentro do formato jurdico,
sendo inseridas, pelo juiz ou pelos advogados. Desta forma, realizada a
apresentao das mesmas. O investigador precisa estar perfeitamente alinhado
com os objetivos de cada etapa da metodologia da percia, para poder minimizar
o tempo e a quantidade de dados que deve desde obter at apresentar.

4. APLICAO
A aplicao dessa cincia exige os cuidados de um profissional
especializado e experiente, pois essas evidncias podem ser extremamente
frgeis e volteis, sendo a inobservncia das tcnicas envolvidas um fator que
pode tornar os vestgios digitais irrecuperveis.
Entende-se por evidncia, neste contexto, qualquer tipo de informao
armazenada ou enviada digitalmente que venha a comprovar uma prtica ilegal
em meio eletrnico. Essas evidncias podem servir como materiais probatrios
em tribunais de justia.
O surgimento da Internet expandiu as possibilidades de crimes em meio
computacional, o que vem obrigando as agncias legais a se prepararem para
investigar esses casos. A Percia Forense Computacional um campo de
pesquisa relativamente novo. No Brasil conta-se ainda com poucos
pesquisadores na rea e existem poucas normas estabelecidas.
A eliminao de fronteiras oferecida pela Internet facilita ainda a
ocorrncia de crimes eletrnicos onde a vtima e o criminoso encontram-se,
muitas vezes, em pases diferentes, onde as leis criminais podem variar. Tornouse, portanto, imprescindvel que as agncias criminais de naes distintas
trocassem materiais de evidncia entre si.

5. EXEMPLIFICAO

5.1. Ferramentas utilizadas por especialistas

O mais amplamente utilizado kit de ferramentas forenses o The
Coroners Toolkit (TCT), desenvolvido por Dan Farmer e Wietse Venema em
1999. Trata-se de um conjunto de utilitrios que coletam e analisam dados,
reconstroem arquivos e verificam arquivos e dados da memria em baixo nvel.
As ferramentas foram expandidas em 2004 por Brian Carrier, com o nome
Sleuth Kit.
A seguir listamos as ferramentas inclusas:

Grave-robber: utilizado para coleta de informaes forenses, respeitando

a ordem de volatilidade (OOV);

Mactime: produz um relatrio cronolgico de todos os mtodos de acesso

de arquivos por nome;

Lazarus: reconstri arquivos, reduzindo a fragmentao dos mesmos.

Cria um mapa de disco, tornando possvel o exame de dados pelo tipo de
contedo;

Entre outras.

5.2. Casos onde a Percia Forense Computacional foi empregada

Como j foi mencionado anteriormente, a Percia Forense Computacional
ainda uma cincia relativamente recente, principalmente no Brasil onde
existem poucos profissionais a exercendo. Contudo, muitos casos onde ela
empregada vem sendo divulgados, desde 2013, no site da Polcia Federal, no
qual existem estatsticas de operaes que envolvem ocorrncias ilegais no
meio ciberntico.
A grande maioria dos casos se tratam de fraudes bancrias onde hackers
invadem sistemas financeiros para desviar dinheiro e roubar senhas de clientes
que realizam transaes pela Internet. Existem ainda muitos outros que
envolvem materiais de pornografia infantil (pedofilia), que so compartilhados
pelo meio digital por criminosos que atuam em vrios pases.

A seguir, separamos alguns podem ser citados:

Caso Anjo da Guarda

Ocorrido em junho de 2005. 18 mandados de busca e apreenso em oito
estados foram cumpridos com o objetivo recolher material de informtica, fitas e
CDs contendo pornografia infantil. Um homem de 33 anos foi preso em Volta
Redonda-RJ por ter produzido, divulgado e compartilhado esses materiais no
exterior via Internet.

Caso CTRL ALT DEL

Ocorrido em dezembro de 2006, onde uma quadrilha especializada em
roubo de senha bancria pela Internet foi detida. 39 pessoas foram presas no
Estado do Par, em uma operao que envolveu 215 policiais federais.

Caso Galcticos:
Operao que prendeu no dia 23 de agosto de 2006 integrantes de uma
quadrilha que desviava dinheiro de contas bancrias atravs da Internet em
Imperatriz-MA. A investigao, que iniciou em dezembro de 2004, descobriu que
eram utilizados programas do tipo Spyware para capturar senhas bancrias de
correntistas de vrios bancos, principalmente a Caixa Econmica Federal. Estes
programas eram disseminados atravs de e-mails (spam) com mensagens
falsas, e tambm em sites de relacionamento como o Orkut. No total foram 65
prises.

6. CONSIDERAES FINAIS

A aplicao minuciosa de tcnicas investigativas na computao forense

, sem dvida, muito semelhante s tcnicas de percias investigativas utilizadas
em crimes convencionais. possvel conhecer as caractersticas do ambiente
de trabalho e entender o ambiente forense computacional como o local de um

crime, por isso h a necessidade de segui-la como forma de aperfeioar o

trabalho pericial.
A grande abrangncia da atividade forense computacional em diversas
reas que envolvem Segurana da Informao traz complexidade aos trabalhos
a serem realizados na investigao de cada caso. A validade tcnica e jurdica
das metodologias para recuperar dados de computadores envolvidos em
incidentes de segurana tem se tornado fundamental, pois os procedimentos tm
que ser tecnologicamente adequados para garantir que toda a informao til
como prova seja obtida e tambm de uma forma a ser legalmente aceita de
maneira a garantir que nada na evidncia original seja alterado, adicionado ou
excludo.

7. REFERNCIAS
FARMER, Dan; VENEMA, Wietse. Percia Forense Computacional: teoria e
prtica aplicada. So Paulo: Pearson, 2006.

TOLENTINO, L. C.; DA SILVA, W.; MELLO, P. A. Percia Forense Computacional.

Revista Tecnologias em Projeo (v. 2, n. 2, pp. 32-37, dezembro de 2011).

GALVO, Ricardo K. M. Percia Forense Computacional. Rio de Janeiro: Unirio,

IV Workshop de Segurana da Informao, 2009.

Polcia

Federal

Agncia

de

Notcias:

Estatsticas

de

Operaes

http://www.dpf.gov.br/agencia/estatisticas/operacoes (Acessado em 05 de
novembro de 2011).

10