iiipericiaforenseaplicadaainformatica

Professor - Ricardo Leocdio

1 Contato- [email protected]

Segurana da Informao

PERCIA FORENSE APLICADA A INFORMATICA

Neste captulo iremos ver o conceito

sobre o que pericia forense computacional, como realizar e encontrar evidncias.

Objetivos

Apostila de acompanhamento da disciplina, das pginas 74 a 77 Documentos




Assuntos que circundam uma percia

PERCIA Materializao

da prova

DIREITO Leis

Procedimentos

TECNOLOGIA Informtica

Forense

Leitura obrigatria desse contedo. Pgina 74 a 77




Pirmide do rigor das provas

Penal

Civil

Administrativo

FORMALIDADE / RIGIDEZ

PUNIO

Maior Priso

Intermedirio Pecuniria

Menor Administrativa

PROCESSO

CPP

CPC

CPA



Segurana da Informao A Percia no contexto da pirmide

Penal

Civil

Administrativo

PERITO

Dois Peritos Oficiais do Estado *

Nomeado pelas partes ou pelo Juiz *

Capacitado e de confiana.

PROCESSO

CPP

CPC

CPA




Crime Ciberntico

Os crimes cibernticos geralmente so definidos com qualquer tipo de atividade ilegal que usa a internet, uma rede pblica ou privada ou um sistema de computador domstico. Enquanto muitas formas de crimes cibernticos ocupam-se de obter informaes confidenciais para uso no autorizado, outros exemplos esto mais preocupados em invadir a privacidade do mximo possvel de usurios de computadores. O crime ciberntico abrange toda ao criminosa com computadores e redes. Adicionalmente, o crime ciberntico tambm inclui crimes tradicionais realizados atravs da internet. Exemplo: crimes por intimidao, fraudes de telemarketing e internet, roubo de identidade e roubos de contas de cartes de crdito so considerados crimes cibernticos quando as atividades ilegais forem realizadas com o uso de um computador e da internet.




Crime Ciberntico

Aquele praticado contra o sistema de informtica ou atravs deste, compreendendo os crimes praticados contra o computador e seus acessrios e os perpetrados atravs do computador

Crimes Informticos (terminologias) E-Crime Crimes Hi-Tech Crimes Eletrnicos Crimes Digitais Crimes Virtuais Crimes Cibernticos (Conveno de Budapeste)




Classificao dos Crimes Cibernticos

Puros (crimes de alta tecnologia) O alvo do criminoso o prprio sistema de informao.

Ex. 01: ataques de negao de servio contra sites

Ex. 02: acesso indevido a banco de dados

Comuns (impuros) J eram praticados anteriormente popularizao do computador e da Internet; A tecnologia atua apenas como facilitador ou meio de comunicao. Ex.: venda de produtos contrabandeados pela Internet.

Mistos No visa o sistema de informao, mas se utiliza dele como instrumento indispensvel para a prtica da infrao.

Ex.: fraude bancria via internet banking.




Classificao dos Crimes Cibernticos

Alguns crimes praticados util izando computadores no so necessariamente Crimes Cibernticos, parte desse crimes j esto tipificados h bastante tempo e j tm legislao especfica com penas previstas e com vrias pessoas julgadas, condenadas e presas em funo disso !




Legislao pr-existente utilizada ou adaptada

Divulgao de Segredo (art. 153, 1oA, CP) Divulgar, sem justa causa, informaes sigilosas ou reservadas, assim definidas em lei, contidas ou no nos sistemas de informaes ou banco de dados da Administrao Pblica

(complementada pela Lei no 9.983, de 2000)

Crimes Contra a Ordem Tributria (art. 2o, V, da Lei no 8.137/1990) utilizar ou divulgar programa de processamento de dados que permita ao sujeito passivo da obrigao tributria possuir informao contbil diversa daquela que , por lei, fornecida Fazenda Pblica.

Pena = deteno, de 01 (um) a 04 (quatro) anos, e multa

Pena = deteno, de 06 (seis) meses a 02 (dois) anos, e multa





Insero de dados falsos em sistema de informaes (art. 313-A, CP) Inserir ou facilitar, o funcionrio autorizado, a insero de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administrao Pblica com o fim de obter vantagem indevida para si ou para outrem ou para causar dano

Modificao ou alterao no autorizada de sistema de informaes (art. 313-B, CP)

Modificar ou alterar, o funcionrio, sistema de informaes ou programa de informtica sem autorizao ou solicitao de autoridade competente

Pargrafo nico. As penas so aumentadas de um tero at a metade se da modificao ou alterao resulta dano para a Administrao Pblica ou para o administrado

Pena = deteno, de 02 (dois) a 12 (doze) anos, e multa

Pena = deteno, de 03 (trs) meses a 02 (dois) anos, e multa





Interceptao No-Autorizada (grampos) (art. 10 Lei 9.296/96) Constitui crime realizar interceptao de comunicaes telefnicas, de informtica ou telemtica, ou quebrar segredo da Justia, sem autorizao judicial ou com objetivos no autorizados em lei.

Divulgao de pornografia infantil atravs da internet (ECA Lei 8.069/90, art. 241) Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informtica ou telemtico, fotografia, vdeo ou outro registro que contenha cena de sexo explcito ou pornogrfica envolvendo criana ou adolescente

1o Nas mesmas penas incorre quem: I - assegura os meios ou servios para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo; II - assegura, por qualquer meio, o acesso por rede de computadores s fotografias, cenas ou imagens de que trata o caput deste artigo.

Pena = deteno, de 02 (dois) a 04 (quatro) anos, e multa

Pena = deteno, de 03 (trs) a 06 (seis) anos, e multa





Lei 12.737/2012 Sancionada em 30/11/2012 (Presidenta Dilma Rousseff)

Publicada no Dirio Oficial da Unio em 03/02/2012

Dispe sobre a tipificao criminal de delitos informticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Cdigo Penal; e d outras providncias.




Legislao 12.737/2012

Art. 154-A Invadir dispositivo informtico alheio, conectado ou no rede de computadores, mediante violao indevida de mecanismo de segurana e com o fim de obter, adulterar ou destruir dados ou informaes sem autorizao expressa ou tcita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilcita: 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prtica da conduta definida no caput.

2o Aumenta-se a pena de um sexto a um tero se da invaso resulta prejuzo econmico.

Falsificao de Carto

Art. 298 Pargrafo nico. Para fins do disposto no caput, equipara-se a

documento particular o carto de crdito e de dbito.

Pena deteno, de 03 (trs) meses a 01 (um) ano, e multa.




Legislao 12.737/2012

Art. 154-A 3o Se da invaso resultar a obteno de contedo de comunicaes eletrnicas privadas, segredos comerciais ou industriais, informaes sigilosas, assim definidas em lei, ou o controle remoto no autorizado do dispositivo invadido:

Interrupo ou perturbao de servio telegrfico, telefnico, informtico, telemtico ou de informao de utilidade pblica

Art. 266 1o Incorre na mesma pena quem interrompe servio telemtico ou de informao de utilidade pblica, ou impede ou dificulta-lhe o restabelecimento.

Pena recluso, de 06 (seis) meses a 02 (dois) anos, e multa, se conduta no constitui crime mais grave.

Pena recluso, de 01 (um) a 03 (trs) anos, e multa




Obstculos / dificuldades

As dificuldades encontradas no processo de investigao possuem um leque amplo e diversificado, dentre os quais:

Como toda a rea de Informtica, o maior desafio que encontramos a falta de regulamentao e legislao especfica que possam dar uma maior garantia sobre os atos praticados nessa esfera;

Falta de profissionais gabaritados nessa rea;

Inexistncia de conhecimento da maior parte dos administradores sobre os riscos de efetuar uma varredura prpria no sistema;




Obstculos / dificuldades

O atendimento imediato as solicitaes pelas autoridades policiais, bem como a demora no atendimento;

Rastreamento do beneficirio das informaes furtadas;

Formulao dos quesito relativos a exames periciais em elementos de hardware e software por parte da autoridade policial que ajudem no processo de investigao e resoluo do fato ocorrido;

Violao da prova por desconhecimento de policiais e pelo corpo tcnico da empresa.




Integrao rea Juridica x Tecnolgica

rea de Security detecta a fraude / tc. forense

+

rea Jurdica analisa e tipifica o ato Demanda Adm, Civil ou Penal? Efetividade no corpo comprobatrio levado a

juzo

CPP CPC CPA




PERITO + BASE JURDICA




Preparando-se para atuar na rea...

Treinamentos




BASE JURDICA

1. Definies de percia, perito e assistente tcnico.

A palavra perito quando definida pelo dicionrio do clebre Aurlio Buarque de Holanda Ferreira nos traz as seguintes expresses:

Aquele que sabedor ou especialista em determinado assunto.

Aquele que se acha habilitado para realizar percia.

Aquele que nomeado judicialmente para exame ou vistoria.




BASE JURDICA

Podemos ainda definir como: Pessoa qualificada, idnea, isenta, especialista, em um ou mais ramos do conhecimento, que auxilia o Juiz ou as partes processuais na busca da verdade cientfica (real).

Jorge Ramos de Figueiredo.

Profissional legalmente habilitado, idneo e especialista, convocado para realizar uma percia.

Joaquim da Rocha Medeiros Junior A percia Judicial Editora Universitria de Direito, 2006




Perfil do Profissional de um perito

Altamente tico; Conhecimento de aspectos de segurana; Conhecimento avanado do sistema operacional e do

equipamento a ser analisado;

Conhecimento avanado de informtica, protocolos e redes;

Conhecimento avanado das ferramentas a serem utilizadas;

Conhecimento de aspectos legais.




BASE JURDICA

Assistente Tcnico: Profissional legalmente habilitado, indicado e contratado pela parte para orient-la, assistir os trabalhos periciais em todas as fases da percia e, quando necessrio, emitir seu parecer tcnico.

2. Pr-requisitos legais As Leis processuais brasileiras, tanto civis (CPC) quanto penal (CPP) tratam dos requisitos exigidos para a atuao na rea pericial, a seguir vejamos:

CAPTULO-V CPC

DOS AUXILIARES DA JUSTIA

Art.139.So auxiliares do juzo, alm de outros, cujas atribuies so determinadas pelas normas de organizao judiciria, o escrivo, o oficial de justia, o perito, o depositrio, o administrador e o intrprete.

CPP CPC




BASE JURDICA

do entendimento dos tribunais brasileiros que NO possvel exigirem do profissional de informtica o competente registro no rgo ou entidade de classe vez que a profisso ainda no fora regulamentada no pas.

Considera-se para fins legais, a formao superior (universitria) em cursos seqenciais (2 anos de durao), tecnlogos (2 anos e meio de durao) e bacharelado tradicional (4 anos em mdia),bem como cursos de Ps Graduao (Especializao, Mestrado ou Doutorado), desde que devidamente registrados e reconhecidos pelo Ministrio da Educao e Cultura (MEC).

CPP CPC




BASE JURDICA

3. Os campos de atuao do perito.

A atuao do profissional de computao forense dar-se- das seguintes formas:

Funcionar como perito do Juiz das varas cveis e trabalhistas, ou seja, nomeado pelo Juiz do processo para proceder nos exames e diligncias tcnicas.

Funcionar como assistente tcnico das partes, que compreende em auxiliar os advogados e partes processuais a elaborar quesitos, acompanhar a (as) diligncias e exames nas defesas de seus interesses.

Funcionar como consultor ou perito extrajudicial, neste caso, o laudo tcnico, ou como muitas vezes chamado de parecer produzido de forma particular, e no de forma judicial, e anexado a petio do advogado dentro do processo.

Funcionar como perito extrajudicial em comisses de sindicncia que apurem faltas ou transgresses disciplinares de funcionrios particulares ou pblicos.

Funcionar como professor em cursos de formao de peritos.

CPP CPC




BASE JURDICA

4. Como apresentar suas credenciais.

No caso do profissional de percia, chamamos de credenciais tudo aquilo que comprova suas habilidades e especialidades tcnicas.

Caso seja nomeado perito ad-hoc na justia criminal (inqurito policial) o profissional deve apresentar-se ao Delegado titular do feito munido de cpia do seu documento de Identidade Civil ou profissional, cpia do seu certificado de concluso de curso superior e cpia do seu certificado de curso em computao forense.

Caso seja nomeado perito do Juiz na justia cvel ou trabalhista, o profissional deve apresentar todo o seu currculo profissional devidamente comprovado ao Juiz no momento em que ingressar com petio para proposta de honorrios.

CPP CPC




BASE JURDICA

Cdigo de Processo Civil

Art.145 Pargrafo 1 Os peritos sero escolhidos entre profissionais de nvel universitrio, devidamente inscritos no rgo de classe competente, respeitado o disposto no Capitulo VI Seo VII, deste cdigo (redao includa pela Lei 7.270 de 1984).

Art.145 Pargrafo 2 Os peritos comprovaro sua especialidade na matria que devero opinar mediante certido do rgo profissional em que estiverem inscritos. (redao includa pela Lei 7.270 de 1984).

Art.145 Pargrafo 3 Nas localidades onde no houver profissionais qualificados que preencham os requisitos dos pargrafos anteriores, a indicao dos peritos ser de livre escolha do Juiz. (redao includa pela Lei 7.270 de 1984).

CPC




BASE JURDICA

5. Legislao aplicada ao perito da esfera cvel.

Seo-II Do Perito

Segundo o Cdigo de Processo Civil brasileiro, na sua Seo II, Artigo 145: Quando a prova do fato depender de conhecimento tcnico ou cientfico, o juiz ser assistido por perito, segundo o disposto no Artigo 421. (CPC)

Os pargrafos 1, 2 e 3 j foram analisados quando do estudo dos pr-requisitos legais

Artigo 146: O perito tem o dever de cumprir o ofcio, no prazo que lhe assinala a Lei, empregando toda a sua diligncia; pode, todavia, escusar-se do encargo alegando motivo legtimo. (CPC)

CPC




BASE JURDICA

Exemplos de motivos legtimos:

Quando se tratar de percia relativa matria sobre a qual se considere inabilitado para apreciar.

Quando se tratar de questo em que sua resposta possa trazer desonra prpria, de cnjuge, parente, amigo ntimo, ou exp-los ao perigo de demanda ou prejuzo patrimonial.

Sempre que os fatos importem em violao de segredo profissional.

J estar comprometido anteriormente com outras percias que lhe impeam de cumprir com os prazos.

CPC




BASE JURDICA

Pargrafo nico: A escusa ser apresentada dentro de 5 (cinco) dias, contados da intimao ou do impedimento superveniente, sob pena de se reputar renunciado o direito a aleg-la (Artigo 423). (Redao dada pela Lei nmero 8.455, de 1992). (CPC)

Artigo 147: O perito que, por dolo ou culpa, prestar informaes inverdicas, responder pelos prejuzos que causar parte, ficar inabilitado, por 2 (dois) anos, a funcionar em outras percias e incorrer na sano que a Lei penal estabelecer. (CPC)

CPC




BASE JURDICA

SEO VII Artigo 420: A prova pericial consiste em exame, vistoria ou avaliao. Pargrafo nico: O Juiz indeferir a percia quando: I- a prova do fato no depender de conhecimento especial de tcnico; II- for desnecessria em vista de outras provas produzidas; III- a verificao for impraticvel. (CPC) Artigo 421: O juiz nomear o perito, fixando de imediato o prazo para a entrega do laudo. (Redao dada pela Lei nmero 8.455, de 1992). (CPC)

CPC




BASE JURDICA

Pargrafo 1: Incube as partes, dentro de 5 (cinco) dias, contados da intimao do despacho de nomeao do perito: I- indicar o assistente tcnico; II- apresentar quesitos. (CPC) Pargrafo 2: Quando a natureza do fato permitir, a percia poder consistir apenas na inquirio pelo juiz do perito e dos assistentes, por ocasio da audincia de instruo e julgamento a respeito das coisas que houveram informalmente examinado ou avaliado (Redao dada pela Lei nmero 8.455, de 1992). (CPC) Artigo 422: O perito cumprir escrupulosamente o encargo que lhe foi cometido, independente de termo de compromisso. Os assistentes tcnicos so de confiana da parte, no sujeitos a impedimento ou suspeio Redao dada pela Lei nmero 8.455, de 1992). (CPC)

CPC




BASE JURDICA

Artigo 423: O perito pode escusar-se (Artigo 146), ou ser recusado por impedimento ou suspeio (Artigo 138, Inciso III); ao aceitar a escusa ou julgar procedente a impugnao, o juiz nomear novo perito. Redao dada pela Lei nmero 8.455, de 1992). (CPC) Artigo 424: O perito poder ser substitudo quando: I- Carecer de conhecimento tcnico ou cientfico; II- Sem motivo legtimo, deixar de cumprir o encargo no prazo que lhe foi assinado. Redao dada pela Lei nmero 8.455, de 1992). (CPC) Pargrafo nico: No caso previsto no inciso II, o juiz comunicar a ocorrncia a corporao profissional respectiva, podendo, ainda, impor multa ao perito, fixada tendo em vista o valor da causa e o possvel prejuzo decorrente do atraso no processo (Redao dada pela Lei nmero 8.455, de 1992). (CPC)

CPC




BASE JURDICA

Artigo 425: Podero as partes apresentar, durante a diligncia, quesitos suplementares. Da juntada dos quesitos aos autos dar o escrivo cincia parte contrria. (CPC) Artigo 426: Compete ao juiz: I- indeferir quesitos impertinentes; II formular os que entender necessrios ao esclarecimento da causa. (CPC) Artigo 427: O juiz poder dispensar prova pericial quando as partes, na inicial e na contestao, apresentarem sobre as questes de fato pareceres tcnicos ou documentos elucidativos que considerar suficientes (Redao dada pela Lei nmero 8.455, de 1992). (CPC)

CPC




BASE JURDICA

Artigo 429: Para o desempenho de sua funo, podem o perito e os assistentes tcnicos utilizar-se de todos os meios necessrios, ouvindo testemunhas, obtendo informaes, solicitando documentos que estejam em poder de parte ou em reparties pblicas, bem como instruir o laudo com plantas, desenhos, fotografias e outras quaisquer peas. (CPC) Artigo 431-A: As partes tero cincia da data e local designados pelo juiz ou indicados pelo perito para ter incio produo da prova. (CPC) Artigo 431-B: Tratando-se de percia complexa, que abranja mais de uma rea de conhecimento especializado, o juiz poder nomear mais de um perito e a parte nomear mais de um assistente tcnico. (CPC)

CPC




BASE JURDICA

Artigo 432: Se o perito, por motivo justificado, no puder apresentar o laudo dentro do prazo, o juiz conceder-lhe-, por uma vez , pror rogao, segundo o seu prudente arbtrio. (CPC)

Artigo 433: O perito apresentar o laudo em cartrio, no prazo fixado pelo juiz, pelo menos 20 (vinte) dias antes da audincia de instruo e julgamento. (CPC)

Pargrafo nico: Os assistentes tcnicos oferecero seus pareceres no prazo comum de 10 (dez) dias, depois de intimadas as partes da apresentao do laudo. (CPC)

CPC




BASE JURDICA

Artigo 435: A parte, que desejar esclarecimento do perito e do assistente tcnico, requerer ao juiz que mande intim-lo a comparecer audincia, formulando desde logo as perguntas, sob forma de quesitos (CPC)

Pargrafo nico: O perito e o assistente tcnico s estaro obrigados a prestar os esclarecimentos a que se refere este artigo, quando intimados 5 (cinco) dias antes da audincia. (CPC)

Artigo 437: O juiz poder determinar, de ofcio ou a requerimento da parte, a realizao de nova percia, quando a matria no lhe parecer suficientemente esclarecida. (CPC)

Artigo 438: A segunda percia tem por objetivo os mesmos fatos sobre que recaiu a primeira e destina-se a corrigir eventual omisso ou inexatido dos resultados a que esta conduziu. (CPC)

Pargrafo nico: A segunda percia no substitui a primeira, cabendo ao juiz apreciar livremente o valor de uma e outra. (CPC)

CPC




BASE JURDICA

Art. 134 dispe sobre os impedimentos para atuar como perito (CPC):

Atuar em processo onde esteja postulando, como advogado da parte, ou seja, parte, seu cnjuge ou qualquer parente seu, consangneo ou afim, em linha reta ou na colateral, at o 3 Grau.

Quando membro de rgo de direo ou de administrao de pessoa jurdica que seja parte na causa.

Quando amigo ntimo ou inimigo capital de alguma das partes. Quando alguma das partes for sua credora ou devedora, de seu cnjuge

ou de parente de ambos at o segundo grau.

Quando herdeiro presuntivo, donatrio ou empregador de alguma das partes.

Quando receber ddivas antes ou depois de iniciado o processo. Quando houver aconselhado alguma das partes acerca do objeto da

causa ou subministrar meios para atender a despesas do litgio.

Quando interessado no julgamento de causa em favor de uma das partes e/ou suspeio de parcialidade.

CPC




BASE JURDICA

Cdigo de Processo Penal: "Art. 159. O exame de corpo de delito e outras percias sero, em regra, realizados por perito oficial.

1o Na falta de perito oficial, o exame ser realizado por duas pessoas idneas, escolhidas, de preferncia, dentre as que tiverem habilitao tcnica

2o Os peritos no oficiais prestaro o compromisso de bem e fielmente desempenhar o encargo.

3o Sero facultadas ao Ministrio Pblico e seu assistente, ao querelante, ao ofendido, ao investigado e ao acusado a formulao de quesitos e indicao de assistente tcnico, que atuar a partir de sua admisso pelo juiz. "(NR).

CPP




BASE JURDICA

Art.277. O perito nomeado pela autoridade ser obrigado a aceitar o encargo, sob pena de multa, salvo escusa atendvel. (CPP)

Pargrafo nico.Incorrer na mesma multa o perito que, sem justa causa, provada imediatamente:

a) deixar de acudir intimao ou ao chamado da autoridade;

b) no comparecer no dia e local designados para o exame;

c) no der o laudo, ou concorrer para que a percia no seja feita, nos prazos estabelecidos.

CPP




BASE JURDICA

Art. 278. No caso de no-comparecimento do perito, sem justa causa, a autoridade poder determinar a sua conduo. (CPP)

Art.279.No podero ser peritos (CPP):

I -os que estiverem sujeitos interdio de direito mencionada nos nmeros. I e IV do art. 69 do Cdigo Penal;

II - os que tiverem prestado depoimento no processo ou opinado anteriormente sobre o objeto da percia;

III-os analfabetos e os menores de 21 anos.

Art.280. extensivo aos peritos, no que Ihes for aplicvel, o disposto sobre suspeio dos juzes. (CPP).

CPP




ANLISE FORENSE




Histrico

Com o crescimento de ataques feitos contra sistemas computacionais, emergiu a necessidade de elementos que pudessem comprovar a origem dos mesmos, trazendo a imputabilidade dos atos praticados.

Em 1996, os primeiros profissionais passam a ser procurados por rgos governamentais e surgem os grupos de desenvolvimento de ferramentas de anlise forensics.

As primeiras firmas especializadas aparecem em meados de 1996 e vm se estabelecendo no mercado como importantes meios de atingir os objetivos de comprovao de ataques e fraudes no mercado internacional.




Histrico - Continuao

Nos anos seguintes, vrias ferramentas e tcnicas forma surgindo no mercado internacional obedecendo s necessidades das legislaes da rea de informtica e combatendo os novos tipos de ataque no intuito de preservar os dados.

Em 2000, Dan Farmer (Earthlink) e Wietse Venema (IBM) comeam a escrever artigos publicados pelo jornal Doctor Dobb, incluindo sistemas operacionais Unix e Windows, alm das anlises de vrias ferramentas que foram desenvolvidas no decorrer dos anos por empresas especializadas, grupos de estudos e profissionais autnomos.




Anlise Pericial

A anlise pericial o processo usado pelo investigador para descobrir informaes valiosas, a busca e extrao de dados relevantes para uma investigao. O processo de anlise pericial pode ser dividido em duas camadas: anlise fsica e anlise lgica.

A anlise fsica a pesquisa de seqncias e a extrao de dados de toda a imagem pericial, dos arquivos normais s partes inacessveis da mdia. A anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos investigado no formato nativo, percorrendo-se a rvore de diretrios do mesmo modo que se faz em um computador comum.




Anlise Fsica

Durante a anlise fsica so investigados os dados brutos da mdia de armazenamento. Ocasionalmente, pode-se comear a investigao por essa etapa, por exemplo, quando se est investigando o contedo de um disco rgido desconhecido ou danificado. Depois que o software de criao de imagens tiver fixado as provas do sistema, os dados podem ser analisados por trs processos principais: uma pesquisa de seqncia, um processo de busca e extrao e uma extrao de espao subaproveitado e livre de arquivos. Todas as operaes so realizadas na imagem pericial ou na copia restaurada das provas. Com freqncia, se faz pesquisas de seqncias para produzir listas de dados. Essas listas so teis nas fases posteriores da investigao. Entre as listas geradas esto as seguintes:

Todos os URLs encontrados na mdia. Todos os endereos de e-mail encontrados na mdia. Todas as ocorrncias de pesquisa de seqncia com palavras sensveis a caixa alta e baixa.




Conceito

FORENSICS a anlise pos-mortis. O seu conceito genrico o estudo sobre algum objeto com fins legais.

Ele tem o objetivo genrico de saber a hora da morte, as causas da morte, anlise e coleta de evidncias, anlise de histricos, cena do crime, dentre outros objetos inerentes ao estudo jurdico e legal.

COMPUTER FORENSICS o ato do levantamento e coleta de dados e evidncias que possam ser considerados provas jurdicas e legais numa anlise ps-morte. So efetuadas anlises por profissionais altamente capacitados para determinar os passos a serem tomados para que sejam coletados os referidos dados com a menor perda possvel.




Conceito

Anlise Forense A aplicao de princpios das cincias fsicas ao direito na busca da verdade em questes cveis, criminais e de comportamento

social para que no se cometam injustias contra qualquer membro da sociedade

(Manual de Patologia Forense do Colgio de Patologistas Americanos, 1990).

Permite o rastreamento, identificao e comprovao da autoria de aes no autorizadas

Auxilia em investigaes que apuram desde violaes de normas internas a crimes eletrnicos.

Levantar evidncias que contam a histria do fato:

Quando? // Como? // Porque? // Onde?




Conceito

Anlise Forense Computacional Supre as necessidades das instituies legais para manipulao de evidncias eletrnicas;

Estuda a aquisio, preservao, identificao, extrao, recuperao e anlise de dados em formato eletrnico;

Produz informaes diretas e no interpretativas.

Computao Forense a cincia que trata do exame, anlise e investigao de um incidente computacional, ou seja, que envolvam a computao como meio, sob a tica forense, sendo ela cvel ou penal.

Na criminalstica a Computao Forense trata o incidente computacional na esfera penal, determinando causas, meios, autoria e conseqncias




Objetivo

Computao Forense envolve a preservao, identificao, extrao (coleta) e documentao de provas e evidncias armazenadas no computador na forma de informaes magnticas codificadas (dados).

Muitas vezes, a evidncia ou a prova foram criadas de forma transparente pelos sistemas operacionais, sem o conhecimento do operador. Algumas informaes podem ser atualmente escondidas para a visualizao, ento as ferramentas e programas especiais forensics e as tcnicas so requeridas para preservar, identificar, extrair (coletar) e documentar as evidncias relatadas.

A preservao dos dados extremamente importante para que os objetivos sejam alcanados.




Emprego da Computao Forense

Para Fins Legais Investigar casos de espionagem industrial

Aes cveis e penais

Em Aes Disciplinares Uso indevido de recursos da instituio

Cumprimento de uma Poltica de Segurana




Anlise Forense Computacional : Aspectos Legais

Enquanto no existe uma padronizao das metolodologias de anlise forense, feito um paralelo com mtodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrnica;

fundamental ao perito a compreenso do Cdigo de Processo Penal - "Captulo II - Do Exame do Corpo de Delito, e das Percias em Geral.

Artigo 170: "Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas.

Artigo 171: "Nos crimes cometidos com destruio ou rompimento de obstculo a subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado".

CPP




O objeto da anlise so sistemas que sofreram

qualquer incidente de segurana.

Esses elementos so considerados mortos, ou seja, j

sofreram o incidente.

Objeto




Procedimentos Usuais

Visualizao do ambiente no estado anterior ao incidente de segurana;

Aes enumeradas pela International Association of Computer Investigation Specialists (IACIS);

Verificao do sistema operacional utilizado e cpias de segurana existentes;

Verificao fsica do objeto da anlise, como estado de comunicao, servios e utilizao de memria e disco;

Efetivao de cpias de parties ou clusters que contenham os dados a serem analisados;

Utilizao de ferramentas que no adulterem o sistema e o status do mesmo;

Levantamento de manuseio do equipamento aps o incidente de segurana.




Anlise forense computacional

Aquisio Preservao Identificao Extrao Recuperao Anlise Apresentao (documentao)




Anlise forense computacional: Procedimentos Usuais

expressamente importante a PRESERVAO da EVIDNCIA!

As evidncias computacionais so frgeis e suscetveis a alteraes ou perda por qualquer ato ou conjunto de atos. O profissional estar sujeito s teorias do bit stream backup, que prev a preservao de todos os nveis de evidncias que possam existir.

importante documentar todos os passos seguidos e todos os dados coletados!

O cuidado no est apenas o que foi feito, mas no que ainda pode ser feito, como os trojans e arquivos corrompidos!




Anlise forense computacional: Aquisio

O que Coletar?

Mdias Hds, pendrives, cds, dvds...

Dados em memria Em anlises com equipamentos ligados

Dados trafegando na rede Em investigaes de trfego de informaes Tambm com equipamentos ligados

Dispositivos no convencionais Cmeras digitais, culos/relgios/pulseiras... (com dispositivos de armazenamento).




Anlise forense computacional: Aquisio/Procedimentos

Interfaces externas (baseadas em USB e/ou firewire) so indicadas para auxiliar este processo.

O uso de bloqueadores de escrita para aquisio a partir das mdias originais fortemente recomendado.

Maletas com kits otimizados para aquisio de dados de vrias mdias.

Dados armazenados fora dos equipamentos Sistemas de arquivos remotos; Backups em provedores de contedo; Servidores corporativos externos; Datacenters internacionais. Mandato judicial




Anlise forense computacional: Preservao

Todas as evidncias encontradas precisam obrigatoriamente ser legtimas, para terem sua posterior validade jurdica. Sendo assim, todo o processo relativo obteno e coleta das mesmas, seja no elemento fsico (computadores) ou lgico (mapas de armazenamento de memr ia de dados) deve segu i r no rmas internacionais.

Parte-se sempre do princpio de que a outra parte envolvida no caso poder e dever pedir a contra-prova, sobre os mesmos elementos fsicos, ento o profissionalismo destas tarefas ser critico na seqncia do processo, lembrando sempre que, caso o juiz no valide a evidncia, ela no poder ser re-apresentada.




Anlise forense computacional: Preservao

A alterao de dados pode ser comparada a alterao da cena de um crime no mundo real.

Garantir bloqueio de dados antes da cpia = Impedir alterao da mdia original durante os procedimentos de aquisio;

Somente depois da cpia fiel dos dados (atestado por peritos e testemunhas) a mdia original pode ser dispensada.

Perito Oficial (fe-pblica); Perito Convidado (necessidade de testemunhas).




Anlise forense computacional: Identificao

Todo o mater ia l apreendido para anl i se deve ser detalhadamente relacionado em um documento (Cadeia de Custdia);

Final s quando chega a prova a justia

Preservao laudo e mdia Todas as pginas rubricadas Vnculo com a mdia atravs de clculo de hash Cpia do laudo e da mdia com o Perito

O uso de assinaturas hash (MD5/SHA1/SHA256) fundamental para garantir que os dados coletados e armazenados como prova no sero modificados futuramente.




Anlise forense computacional: Identificao

Aps a coleta, a manipulao dos dados das mdias pode ser feita pelo prprio perito ou posteriormente por outro (inclusive por um perito contratado por advogados que contestaram os laudos);

Extrao - o processo de retirar das mdias periciadas as informaes disponveis;

Recuperao - o processo de buscar dados removidos total ou parcialmente, propositalmente ou no.




Anlise forense computacional: Anlise

uma das fases mais demoradas, onde o perito utiliza ferramentas e tcnicas para extrair informaes das mdias periciadas;

Esta fase exige cuidado especial em proporo igual ao volume de dados analisados, ja que nem sempre as evidncias so explcitas (nomes e formatos de arquivos p.ex.).



Segurana da Informao Anlise forense computacional: Anlise Entendendo onde ficam as provas

Locais onde se podem descobrir informaes valiosas para uma investigao em trs reas :

Espao de arquivos lgicos : Refere-se aos blocos do

disco rgido que, no momento do exame, esto atribudos a um arquivo ativo ou estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode).

Espao subaproveitado : Espao formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. Chamamos todos os tipos de resduo de arquivos, como a RAM e os arquivos subaproveitados, de espao subaproveitado.

Espao no-alocado : Qualquer setor no tomado, esteja ou no em uma partio ativa.



Segurana da Informao Anlise forense computacional: Anlise O Processo de Busca e Extrao

Alguns tipos de caso podem beneficiar-se de uma forma especializada de pesquisa de seqncia, o processo de busca e extrao. Este o segundo dos trs que se usa durante a analise fsica.

O aplicativo analisa uma imagem pericial em busca de cabealhos dos tipos de arquivos relacionados ao tipo de caso em que se estiver trabalhando. Quando encontra um, extrai um nmero fixo de bytes a partir do ponto da ocorrncia.

Por exemplo, se estiver investigando um indivduo suspeito de distribuio de pornografia ilegal, analisa-se a imagem pericial e se extrai blocos de dados que comecem com a seguinte seqncia hexadecimal:

$4A $46 $49 $46 $00 $01

Esta seqncia identifica o incio de uma imagem JPEG. Alguns formatos de arquivos (entre eles o JPEG) incluem o comprimento do arquivo no cabealho.




Isto muito til quando se est extraindo dados brutos de uma imagem pericial. Esta capacidade de extrao forada de arquivos incrivelmente til em sistemas de arquivos danificados ou quando os utilitrios comuns de recuperao de arquivos apagados so ineficientes ou falham completamente.




A verificao de estruturas de arquivos e discos com ferramentas pr-instaladas facilitam o processo de investigao.

Utilizao de DUMP de memria. Dump o ato de copiar dados no formatados, analisados ou interpretados (raw data) de um lugar para outro, para que possam ser lidos e interpretados, sem afetar o estado em que se encontram. Comumente, o processo de visualizar os dados da memria, principal para a tela ou para a impressora, chamado de dump.



Segurana da Informao Anlise forense computacional: Anlise Anlise Lgica

Durante um exame de arquivos lgicos, o contedo de cada partio pesquisada com um sistema operacional que entenda o sistema de arquivos. neste estgio que cometida a maioria dos erros de manipulao das provas. O investigador precisa estar ciente de todas as medidas tomadas na imagem restaurada. por isto que quase nunca se usa diretamente sistemas operacionais mais convenientes, como o Windows XP, 7 e 8. Mais uma vez, o objetivo bsico proteger as provas contra alteraes. Montar ou acessar a imagem restaurada a partir de um sistema operacional que entenda nativamente o formato do sistema de arquivos muito arriscado, pois normalmente o processo de montagem no documentado, no est disposio do publico e no pode ser verificado. A imagem restaurada precisa ser protegida e por isso que se monta cada partio em Linux, em modo somente leitura. O sistema de arquivos montado ento exportado, via Samba, para a rede segura do laboratrio, onde os sistemas Windows, carregados com visualizadores de arquivos, podem examinar os arquivos. claro que a abordagem ditada pelo prprio caso. Se fizer uma duplicata pericial de um sistema Irix 6.5, provvel que se evite usar o Windows para visualizar os dados.




Anlise forense computacional: Apresentao

Tecnicamente chamada de substanciao da evidncia, ela consiste no enquadramento das evidncias dentro do formato sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas;

Os advogados de cada uma das partes ou mesmo o juiz do caso podero enquadr-lo na esfera civil ou criminal ou mesmo em ambas.

Deve representar as concluses do perito em linguagem clara para apresentao em julgamentos (ou com dados tcnicos comentados).

CPP CPA




Anlise forense computacional: Apresentao

Os Laudos devem conter: Finalidade da Investigao; Autor(es) do Laudo (peritos envolvidos); Resumo do caso/incidente; Relao de evidncias analisadas e seus detalhes; Concluso; Anexos; Glossrio. Metodologia / tcnicas / softwares utilizados.




BASE JURDICA

6. Legislao aplicada ao perito na esfera criminal

(de acordo com as modificaes no CPP em junho de 2008)

Da legalidade da prova pericial (grifo nosso)

"Art. 157. So inadmissveis, devendo ser desentranhadas do processo, as provas ilcitas, assim entendidas as obtidas em violao a princpios ou normas constitucionais. (CPP)

1oSo tambm inadmissveis as provas derivadas das ilcitas, quando evidenciado o nexo de causalidade entre umas e outras, e quando as derivadas no pudessem ser obtidas seno por meio das primeiras. (CPP)

CPP




BASE JURDICA

2o Preclusa a deciso de desentranhamento da prova declarada ilcita, sero tomadas as providncias para o arquivamento sigiloso em cartrio. (CPP)

3o O juiz que conhecer do contedo da prova declarada ilcita no poder proferir a sentena. (CPP)

Art.112. O juiz, o rgo do Ministrio Pblico, os serventurios ou funcionrios de justia e os peritos ou intrpretes abster-se-o de servir no processo, quando houver incompatibilidade ou impedimento legal, que declararo nos autos. Se no se der a absteno, a incompatibilidade ou impedimento poder ser argido pelas partes, seguindo-se o processo estabelecido para a exceo de suspeio. (CPP)

CPP




BASE JURDICA

O Artigo 159 e seus pargrafos j foram estudados quando dos pr-requisitos legais

Art. 160. Os peritos elaboraro o laudo pericial, onde descrevero minuciosamente o que examinarem, e respondero aos quesitos formulados. (CPP)

Pargrafo nico. O laudo pericial ser elaborado no prazo mximo de 10 dias, podendo este prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos. (CPP)

CPP




BASE JURDICA

Art.169. Para o efeito de exame do local onde houver sido praticada a infrao, a autoridade providenciar imediatamente para que no se altere o estado das coisas at a chegada dos peritos, que podero instruir seus laudos com fotografias, desenhos ou esquemas elucidativos. (CPP)

Pargrafo nico. Os peritos registraro, no laudo, as alteraes do estado das coisas e discutiro, no relatrio, as conseqncias dessas alteraes na dinmica dos fatos.

CPP




BASE JURDICA

Art. 170. Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas. (CPP)

Art.175. Sero sujeitos a exame os instrumentos empregados para a prtica da infrao, a fim de se Ihes verificar a natureza e a eficincia. (CPP)

Art.176. A autoridade e as partes podero formular quesitos at o ato da diligncia. (CPP)

CPP




Resumindo




Ferramentas Forense

As ferramentas e mtodos forense podem ser utilizados para identificar senhas, autenticaes e entradas no sistema, alm de outras informaes que so abstradas atravs de um dump da memria do computador atravs de uma operao transparente, que pode ser utilizada em qualquer equipamento pessoal.

Essas ferramentas tm provado serem dispositivos valiosos para auxiliar a rea jurdica na identificao de evidncias comprobatrias nos processos e suas interligaes. Podem identificar arquivos alterados ou criados e associar a determinadas circunstncias, como quem criou ou originou a modificao.

importante relatarmos que algumas ferramentas e tcnicas utilizadas de forma errnea podem destruir essas provas.




ESTEGANOGRAFIA




Esteganografia

Para no serem descobertos, os chamados piratas de computador ou hackers passaram a inovar em suas tcnicas nas trocas de informao.

Hoje, uma das tcnicas mais eficazes se chama: esteganografia. Tal tcnica utiliza textos, imagens, sons e vdeos para esconder informaes de forma que as mesmas passem desapercebidas aos olhos humanos.

As marcas dgua digitais so similares esteganografia no que tange ocultao de dados, os quais parecem ser parte do arquivo original e no so facilmente detectveis por qualquer pessoa. (lembre da cdula de dinheiro).

Finalmente, a esteganografia pode ser usada para manter a confidencialidade da informao valiosa, para proteger os dados de possveis sabotagens, roubo, ou apenas visualizao desautorizada.




Esteganografia

A esteganografia pode ser usada por razes ilegtimas, por exemplo, roubar dados e esconder em um arquivo e emiti-los para fora por meio de um inocente e-mail.

Alm disso, uma pessoa, com um passatempo de salvar arquivos pornogrficos, pode esconder a evidncia com o uso de esteganografia. E, para finalidades terroristas, pode ser usado como meio de comunicao secreta.

Da mesma maneira que um criptoanalista aplica criptanlise na tentativa de decodificar ou resgatar a mensagem criptografada, o esteganoanalista aplica a esteganoanlise na tentativa de descobrir a existncia de informaes escondidas. Na criptografia, a comparao realizada entre pores (possivelmente nenhuma) de plaintexts (texto em claro) e pores de textos cifrados.

A esteganoanlise visa descobrir e tornar intil, mensagens secretas ocultas em um recipiente.

.




Esteganografia

Na esteganografia, comparaes so realizadas entre o estego-objeto, o recipiente e possveis partes da mensagem. A mensagem na esteganografia pode ou no estar criptografada, caso esteja, a mensagem extrada e ento tcnicas de criptoanlise so aplicadas O dado embutido (embedded data) a informao que algum deseja enviar em segredo. Este dado geralmente fica escondido em uma mensagem aparentemente inocente, chamada de recipiente ou de objeto cobertura (container ou cover-object), produzindo um estego-objeto (stego-object) ou estegorecipiente (stego-carrier), ou seja, um arquivo com uma mensagem embutida.

Uma estego-key (stego-key) ou simplesmente chave utilizada para controlar o processo de esconder, assim como, para restringir deteco e/ou recuperao do dado embutido, somente para quem a conhece, ou conhea parte dela. O termo recipiente dado a qualquer tipo de informao digital que transmitida por um sistema digital ou analgico, assim como arquivos de texto, udio, vdeo, figuras, por exemplo, BMP, GIF, JPEG, MP3, WAV, AVI ou outros tipos.




Esteganografia




Esteganografia

A Internet um canal vasto para disseminao de informao. Imagens so utilizadas em toda a rede com diversos propsitos, elas provem excelentes recipientes para esconder informaes. Ferramentas de esteganografia podem ser caracterizadas em dois grupos: Imagem de Domnio e Transformao de Domnio.

Ferramentas de Imagem de Domnio envolvem mtodos que aplicam insero do ltimo bit significativo e manipulao de distoro. Estes mtodos so comuns na esteganografia e so caracterizados como sistemas simples.

Ferramentas utilizadas neste grupo incluem StegoDos, S-Tools, Mandelsteg, EzStego, Hide and Seek, Hide4PGP, Jpeg-Jsteg, White Noise Storm, e Steganos.

Os formatos de imagens tipicamente utilizados nestes mtodos de esteganografia so de lossless e o dado pode diretamente ser manipulado e recuperado.




Esteganografia

Ferramentas de Transformao de Domnio incluem aquelas que envolvem manipulao de algoritmos e transformao de imagens, assim como Transformao do Co-seno Discreto (TCD), e transformao wavelet. Estes mtodos escondem a mensagem em reas mais significativas do recipiente e podem manipular as propriedades da imagem, por exemplo, sua luminosidade. Estas tcnicas so mais robustas que as tcnicas de Imagem de Domnio. Contudo, existe uma relao entre a informao adicionada imagem e a robustez obtida. Vrios mtodos de Transformao de Domnio so independentes do formato e podem suportar a converso entre os formatos.

O mtodo de compresso Lossless utilizado quando existe uma necessidade que a informao original permanea intacta. A mensagem original pode ser reconstruda exatamente igual. Este tipo de compresso tipicamente utilizado em imagens GIF e BMP




Esteganoanlise

A esteganoanlise visa descobrir e tornar intil, mensagens secretas ocultas em um recipiente.

Ao utilizar esteganografia, a qualidade do objeto degradada e tal degradao pode ser perceptvel aos sentidos dos seres humanos e demonstrar certas caractersticas semelhantes, o que torna possvel padronizar uma espcie de assinatura permitindo a deteco dos mtodos e dos softwares utilizados. Tais assinaturas podem acusar a existncia de uma mensagem embutida, o que acaba com a finalidade da esteganografia, que esconder a existncia de uma mensagem.




Forencics X Response Team

Como pudemos notar, FORENSICS trata de algo que ocorreu comprovadamente. As diferenas bsicas entre o FORENSICS e o RESPONSE TEAM so:

Forensics versa sobre atuao em incidente de segurana aps o fato ter se consumado e na busca de provas para embasarem o aspecto jurdico e legal;

Response Team versa sobre um provvel incidente de segurana que est ocorrendo ou que acaba de ocorrer, visando a estabilizao dos elementos atingidos e a normalizao dos mesmos, bem como preparar o campo para a equipe de Forensics.

Forensics versa sobre incidente ocorrido e o principal no o fator velocidade, mas o fator qualidade e quantidade;

Response team, pelo fator emergencial, necessita de velocidade e nem sempre pode atingir a qualidade necessria par ao aspecto legal;




Forencics X Response Team

Response Team A equipe de observao presta os primeiros socorros num incidente e os m e m b r o s d a e q u i p e d e r e s p o s t a s o responsveis por assumir o comando da situao e estabiliz-la para que no se torne pior;

Forens ics A equ ipe de invest igao proporciona uma anlise detalhada e a respectiva soluo para o ocorrido;

Normalmente, as equipes de FORENSICS e RESPONSE TEAM podem ser a mesma, mas, mesmo nos casos que elas no sejam o mesmo grupo, devem manter sintonia para atingir o objetivo comum de desvendar o gerador do incidente com o maior nmero de provas possveis.

iiipericiaforenseaplicadaainformatica

Documents