plataforma verifact · 2020. 1. 14. · • o laudo documental emitido pela plataforma. pessoas...

Maringá – PR Fone 44 4052.9410

[email protected] – www.sipercom.com.br Página 1 de 77

Plataforma Verifact

PARECER TÉCNICO

Versão 1.4 – 10/01/2019.



Resumo Este parecer técnico teve por objetivo analisar a Plataforma Verifact, observando segurança e adequação metodológica com base em práticas forenses: • os processos metodológicos para captura técnica de provas digitais em plataforma SaaS (Software as a Service ou

Software como Serviço), e; • o laudo documental emitido pela plataforma. Pessoas comuns e colaboradores de diversas organizações utilizam-se da Internet no seu cotidiano para realizar

diversas atividades e, muitas vezes, se deparam com situações que precisam ser registradas de maneira imediata para

constituir uma evidência digital ou provar fatos.

A Plataforma Verifact é destinada a pessoas que tenham conhecimentos básicos de tecnologia, tornando-os capazes

de adquirir alguns tipos de evidências digitais a partir de dados voláteis no seguinte cenário:

• Em um ambiente isolado de navegação na Web virtualizado em nuvem, com algumas restrições para torna-lo protegido contra fraudes, criado sob demanda apenas para fins da aquisição de potenciais evidências digitais, direcionado exclusivamente à URL especificada previamente à captura, onde toda a navegação é gravada em vídeo, sem possibilidade de pausa, ambiente este que é posteriormente destruído;

• Onde são aplicadas técnicas de aquisição e preservação de evidências digitais semelhantes àquelas utilizadas em investigações e perícias e, agregando garantias de integridade aos dados coletados e ao laudo produzido.

No contexto atual que vivenciamos de transformação digital esta plataforma poderá ser muito útil para indivíduos e

organizações.

Foi testado o processo utilizado na plataforma e obtidos os artefatos produzidos em todos eles e conclui-se que:

• A metodologia adotada pela plataforma foi considerada consistente e aceitável para os fins aos quais se propõe. Destacando-se que é um método não intrusivo e ainda que a vídeo captura agrega a percepção de contexto e linha do tempo, o que pode ser útil em muitos casos. As práticas utilizadas em perícia digital também aplicadas na metodologia utilizada na plataforma, bem como outras técnicas utilizadas na captura (URL fixa no início, navegação limitada, indicação visual, etc.) podem facilitar ou embasar uma eventual perícia posterior. Além disso, agregam maior consistência aos artefatos produzidos.

• A plataforma oferece uma experiência considerada praticamente normal de navegação em um ambiente virtualizado, com desempenho suficiente durante a captura para navegar, escutar áudios e visualizar vídeos

• O método de validação da integridade do laudo funciona adequadamente, é considerado válido se utilizados computadores, aplicativos e origens das cadeias de certificação confiáveis. A técnica de controle de integridade dos dados funciona, é bastante efetiva e largamente utilizada no âmbito de perícias digitais.

• A possibilidade de utilizar-se da plataforma para aquisição de evidências digitais de maneira imediata, a qualquer tempo e logo após o conhecimento de algum fato, possibilita ao indivíduo evitar a espoliação da potencial evidência digital e aumentar o seu valor como prova.

• Ao comparar com uma Ata Notarial, considerando seu conteúdo meramente narrativo com produção de prova de existência, o resultado produzido pela Plataforma Verifact, no caso específico que ela se propõe a registrar, pode ser considerado mais consistente e confiável que o registro feito em tabeliães na atualidade, visto as boas práticas forenses que permitem uma avaliação acurada por um perito especializado ou assistente técnico, medidas de segurança para prevenir fraudes, metodologia utilizada de registro e preservação, e por fim, uma prova de existência também feita por meio regulamentado no país (carimbo de tempo ICP/Brasil).

• Quanto ao laudo documental, considera-se válido e consistente o suficiente para os fins aos quais se destina, ressaltando-se ainda que, de posse de cópias do laudo e dos demais artefatos produzidos na captura, o indivíduo poderá fazer uso deles, mesmo que a plataforma não esteja disponível, por qualquer motivo ou que a captura já tenha sido removida da plataforma.



Sumário 1. Introdução ........................................................................................................................ 5

1.1. Objeto das análises........................................................................................................ 5

1.2. Exclusões ....................................................................................................................... 6

2. Fundamentação ................................................................................................................ 6

2.1. O desafio da transformação digital ................................................................................ 6

2.2. Diretrizes para atividades envolvendo a produção de evidências digitais ....................... 7

2.3. Ata notarial ................................................................................................................... 9

2.4. Carimbo de tempo......................................................................................................... 9

2.5. Função de verificação .................................................................................................. 10

3. Nosso entendimento ....................................................................................................... 10

4. Análise dos processos metodológicos .............................................................................. 11

4.1. Metodologia da análise ............................................................................................... 11

4.1.1. Alvos dos testes ....................................................................................................... 11

4.1.2. Evidências dos testes ............................................................................................... 11

4.1.3. Verificação dos artefatos ......................................................................................... 11

4.2. Processo de cadastro na Plataforma Verifact ............................................................... 12

4.3. Processo de aquisição de potenciais evidências digitais ............................................... 14

4.3.1. Iniciar captura.......................................................................................................... 16

4.3.2. Criação e inicialização de ambiente.......................................................................... 17

4.3.3. Gravação da captura ................................................................................................ 17

4.3.4. Capturas de tela ...................................................................................................... 18

4.3.5. Conclusão da captura .............................................................................................. 18

4.3.6. Processamento da captura ...................................................................................... 19

4.3.7. Notificação do usuário ............................................................................................. 19

4.3.8. Obtenção e verificação dos artefatos ....................................................................... 20

4.3.8.1. Laudo .................................................................................................................. 21

4.3.8.2. Vídeo captura ...................................................................................................... 23

4.3.8.3. Capturas de tela ................................................................................................... 24

4.3.8.4. Metadados Técnicos ............................................................................................ 24



4.3.9. Compartilhar captura............................................................................................... 26

5. Análise de laudo documental emitido pela plataforma .................................................... 28

5.1. Estrutura do laudo ....................................................................................................... 28

6. Conclusões ...................................................................................................................... 31

6.1. Processo de aquisição de potenciais evidências digitais ............................................... 31

6.2. Laudo documental emitido pela plataforma ................................................................ 33

7. Encerramento ................................................................................................................. 33

8. Referências ..................................................................................................................... 34

Anexo I – Termos de uso Verifact -versão beta ........................................................................ 36

Anexo II – Exemplo de Laudo da Plataforma Verifact ............................................................... 61



1. Introdução O presente trabalho tem por objetivo apresentar um parecer técnico, observando segurança e

adequação metodológica com base em práticas forenses, sobre:

• análise dos processos metodológicos para captura técnica de provas digitais em

plataforma SaaS (Software as a Service ou Software como Serviço), e;

• análise de laudo documental emitido pela plataforma.

1.1. Objeto das análises O objeto das análises contidas neste laudo é a plataforma e as ferramentas disponibilizadas no

sitio da Internet www.verifact.com.br, de agora em diante chamada de Plataforma Verifact,

apenas sob os aspectos mencionados anteriormente.

Consultando o Nic.br é apresentada a propriedade do registro do domínio (algumas informações

sensíveis foram removidas):

% Copyright (c) Nic.br

% The use of the data below is only permitted as described in

% full by the terms of use at https://registro.br/termo/en.html ,

% being prohibited its distribution, commercialization or

% reproduction, in particular, to use it for advertising or

% any similar purpose.

% 2018-12-11T18:08:01-02:00

domain: verifact.com.br

owner: Alexandre João Munhoz

ownerid:

country: BR

owner-c: AJM249

admin-c: AJM249

tech-c: AJM249

billing-c: AJM249

nserver: aiden.ns.cloudflare.com

nsstat: 20181211 AA

nslastaa: 20181211

nserver: connie.ns.cloudflare.com

nsstat: 20181211 AA

nslastaa: 20181211

saci: yes

created: 20180914 #18806143

changed: 20180914

expires: 20190914

status: published

nic-hdl-br: AJM249

http://www.verifact.com.br/



person: Alexandre João Munhoz

e-mail:

country: BR

created: 20050104

changed: 20050519

% Security and mail abuse issues should also be addressed to

% cert.br, http://www.cert.br/ , respectivelly to [email protected]

% and [email protected]

%

% whois.registro.br accepts only direct match queries. Types

% of queries are: domain (.br), registrant (tax ID), ticket,

% provider, contact handle (ID), CIDR block, IP and ASN.

1.2. Exclusões Ressalta-se que NÃO é escopo deste trabalho:

• A avaliação dos aspectos legais relacionados à Plataforma Verifact, portanto, não serão

abordados, exceto, do ponto de vista técnico, aspectos específicos que por ventura

sejam importantes para eventual justificativa ou argumentação;

• A avaliação técnica da implementação da Plataforma Verifact em si, isto é, do ambiente

e seus componentes de infraestrutura, hardware ou software sob qualquer aspecto,

tão pouco, técnicas de criptografia utilizadas no armazenamento ou no tráfego de

informações entre os componentes internos à plataforma.

2. Fundamentação Nesta seção apresentaremos informações, aspectos e conceitos importantes, os quais são

considerados como linhas de base para elaboração deste parecer.

2.1. O desafio da transformação digital Estamos vivenciando a transformação digital [1]. Como a IDC descreve [2], “a transformação

digital é o uso de tecnologias de terceira plataforma para criar valor e vantagem competitiva por

meio de novas ofertas, novos modelos de negócios e novos relacionamentos”.

Exemplos impressionantes dessa transformação:

• 55% das startups já adotaram uma estratégia de negócios digital em comparação com

38% das empresas tradicionais [3];

• O Google processa atualmente mais de 70.000 requisições de busca por segundo e mais

de 4,5 bilhões por dia [4];



• Estima-se em 5,32 bilhões em 2018 o número de acessos móveis contratados ao redor

do mundo [5];

• No primeiro trimestre de 2018 o Facebook atingiu a marca de 2,2 bilhões de usuários

ativos, dos quais 127 milhões no Brasil [6].

Um dos resultados de tudo isso é que pessoas e organizações estão utilizando cada vez mais

novas tecnologias, as quais produzem volumes antes inimagináveis de dados e informações.

O desafio neste cenário é como garantir direitos e deveres em meio a esta enxurrada de dados

e informações.

2.2. Diretrizes para atividades envolvendo a produção de

evidências digitais Atualmente existem diversas iniciativas em âmbito global e em diversos países para

padronização ou direcionamento de atividades envolvidas na produção de evidências digitais.

Neste contexto, diversos aspectos têm significativa implicação e tornam tais iniciativas muito

mais desafiadoras, são eles:

• atender às legislações, normas e regulamentos de diversas jurisdições;

• acompanhar as evoluções tecnológicas e dos crimes cibernéticos;

• acompanhar o exponencial crescimento no volume de dados armazenados por sistemas

computacionais.

Em 2012, para assegurar a integridade de evidências digitais para sua admissão em ações legais,

disciplinares e outras, a ISO – International Organization for Standardization publicou a norma

27037 – “Diretrizes para Identificação, coleta, aquisição e preservação de evidência digital”, a

qual ganhou versão traduzida para o português em 2013 pela ABNT [7].

A norma fornece as diretrizes para as atividades de identificação, coleta, aquisição e preservação

de evidência digital, mas, também aborda os princípios da evidência digital (relevância,

confiabilidade e suficiência) e, os aspectos-chave no manuseio de evidência digital

(auditabilidade, justificabilidade e repetibilidade ou reprodutibilidade).

O balizamento teórico deste parecer considera os seguintes conceitos apresentados na referida

norma [7]:

Conceito Definição

Aquisição Processo de criação de cópia de dados em um conjunto definido

Auditabilidade É um aspecto-chave, o qual por meio de uma documentação

adequada dos processos seguidos em todas as ações realizadas

poderá ser avaliado de maneira independente para certificar se

foram seguidos métodos, técnicas e/ou procedimentos.



Carimbo de tempo Parâmetro de variação do tempo que indica o momento específico

que diz respeito a uma referência de tempo comum

Coleta Processo de recolhimento de itens físicos que contêm potencial

evidência digital

Confiabilidade Propriedade de resultados e comportamentos pretendidos

consistentes. Princípio que agrega a possibilidades de auditoria e

repetição aos processos empregados na manipulação de

potenciais evidências digitais.

Cópia de evidência

digital

Cópia de evidência digital que foi produzida para manter a

confiabilidade da evidência, incluindo tanto a evidência digital

como os meios de verificação no qual o método de verificação

pode ser incorporado ou ser independente das ferramentas

utilizadas na verificação.

Dados voláteis Dados que são especialmente propensos a alterações e que

podem ser facilmente modificados

Espoliação Ato de realizar ou permitir modificação(ões) na potencial

evidência digital que afete o seu valor como prova

Evidência digital Informações ou dados, armazenados ou transmitidos em forma

binária, que podem ser utilizados como evidências

Função de verificação Função unidirecional usada para verificar se conjuntos de dados

são idênticos, comumente implementadas utilizando funções

hash, tais como MD5, SHA1, SHA2, etc.

Justificabilidade Para atender a esse aspecto-chave, as ações e métodos utilizados

na manipulação de potencial evidência digital devem ser

justificadas, a qual pode ser demonstrada com base nas escolhas

adotadas para recolher as potenciais evidências digitais.

Relevância Princípio que considera que o material adquirido é relevante para

a investigação e que contém informação que agregue valor à

investigação de um incidente específico e, de que há uma

justificativa aceitável para ter sido adquirida.

Repetibilidade Propriedade de um processo conduzido para obter os mesmos

resultados de testes em um mesmo ambiente de teste (mesmo

computador, disco rígido, modo de operação etc.)

Reprodutibilidade Propriedade de um processo para obter os mesmos resultados de

testes em um diferente ambiente de teste (diferente computador,

disco rígido, operador etc.)

Suficiência Princípio que considera que o material recolhido (adquirido ou

coletado) é suficiente para realização das investigações

necessárias.

Valor de hash O resultado da função hash em uma série de bits



Também são referências importantes para este parecer, as seções “7.1.3.1.2 – Atividades de

base: aquisição de dispositivo digital ligado” e “7.1.3.1.3 – Atividades adicionais: aquisição de

dispositivo digital ligado” da norma [7], mencionam respectivamente:

• A necessidade da rápida aquisição de dados de dispositivos ainda em execução, a qual

pode ser realizada de maneira remota e os dados voláteis sejam armazenados, por

exemplo em um arquivo ZIP, cujo valor de hash seja calculado e documentado, e ainda,

que o processo seja realizado utilizando programas ou ferramentas confiáveis;

• Data e hora das ações sejam documentados e obtidos a partir referências confiáveis.

2.3. Ata notarial O Art. 384 do CPC [8] estabelece a Ata Notarial como um meio válido de prova, o qual tem sido

utilizado em diversas situações envolvendo evidências digitais.

Para [9], “a Ata Notarial é uma forma pela qual o tabelião, mediante solicitação das partes

interessadas, lavra um instrumento público de narrativa daquilo que foi verificado em seus

sentidos, sem omissão de opinião, para, na conclusão, tê-la com a mesma finalidade de provas

pré-constituídas para serem avaliadas na esfera judicial, extrajudicial e administrativa a partir

dos fatos nela colhidos, observando-se um detalhe: o tabelião é o responsável pela veracidade

do que vai à Ata Notarial e, consequentemente, sua validade perante os que a ela recorrem”.

2.4. Carimbo de tempo No Brasil, o uso de carimbo de tempo ou timestamp é facultativo [10]. Um carimbo tempo

seguro fornece prova de que um conjunto de dados existia em um horário específico. Podem

ser usados para estabelecer quando uma ação eletrônica ocorreu, tal como uma transação ou a

assinatura de um documento. [11]

Alguns dos benefícios de sua utilização são [12]:

• Temporalidade;

• Tempestividade;

• Segurança;

• Eficácia probatória;

• Redução de custos;

• Confiabilidade.



2.5. Função de verificação As funções de verificação ou funções de autenticação unidirecionais [13] são utilizadas para a

verificação de integridade de um conjunto de dados (contidos em um arquivo ou uma mídia de

armazenamento). Elas geram uma saída de tamanho fixo, chamado valor de hash, a partir de

um conjunto de dados de qualquer tamanho, porém, a partir desta saída, não é possível

recuperar o conteúdo original.

A verificação de integridade é garantida pois, se qualquer porção deste conjunto de dados for

alterada, o resultado da verificação da função será diferente.

Algoritmos atualmente utilizados como função de verificação e respectivos tamanhos de saídas

geradas são: MD5 (128 bits), SHA-1 (160 bits) SHA-2 256 (256 bits), SHA-2 512 (512bits).

3. Nosso entendimento Pessoas comuns e colaboradores de diversas organizações utilizam-se da Internet no seu

cotidiano para realizar diversas atividades e, muitas vezes, se deparam com situações que

precisam ser registradas de maneira imediata para constituir uma evidência digital ou provar

fatos.

A Plataforma Verifact é destinada a pessoas que tenham conhecimentos básicos de tecnologia,

tornando-os capazes de adquirir alguns tipos de evidências digitais a partir de dados voláteis no

seguinte cenário:

• Em um ambiente isolado de navegação na Web virtualizado em nuvem, criado sob

demanda apenas para fins da respectiva aquisição de potenciais evidências digitais,

onde toda a navegação é gravada em vídeo, sem possibilidade de pausa, ambiente este

que é posteriormente destruído;

• Ambiente restrito direcionado exclusivamente à URL especificada previamente à

captura, sem possibilidade de abertura abas ou janelas adicionais, com componentes

desativados, tais como Java e Adobe Flash;

• Sem possibilidades de download ou upload de arquivos;

• Com teclas de comandos especiais desativadas, tais como teclas de função (F1... F12),

Ctrl, Alt, etc.);

• Aplicando técnicas de aquisição e preservação de evidências digitais semelhantes

àquelas utilizadas em investigações e perícias;

• Agregando garantias de integridade aos dados coletados e ao laudo produzido.

No contexto atual que vivenciamos de transformação digital mencionado anteriormente esta

plataforma poderá ser muito útil para indivíduos e organizações.



4. Análise dos processos metodológicos

Nesta seção serão analisadas questões relacionadas aos processos metodológicos utilizados para a chamada captura técnica de provas digitais realizada na Plataforma Verifact.

4.1. Metodologia da análise Esta análise foi produzida com base em testes realizados na Plataforma Verifact, fazendo uso

de créditos disponibilizados pela empresa responsável.

4.1.1. Alvos dos testes Estes testes tiveram como alvo os seguintes sites / aplicativos:

• https://www.youtube.com

• https://web.whatsapp.com

• https://facebook.com

• https://assine.vivo.com.br

4.1.2. Evidências dos testes As seguintes evidências digitais dos testes foram adquiridas:

• Capturas de telas;

• Artefatos produzidos pela Plataforma Verificat.

Com o intuito de facilitar a leitura e, visto que o objetivo desta seção é uma avaliação quanto

aos processos metodológicos adotados na Plataforma Verificat, apenas algumas destas

evidências serão apresentadas ao longo deste parecer.

Alguns trechos destas evidências foram removidos para proteger dados sensíveis, porém, sem

afetar o intuito ilustrativo de sua apresentação neste parecer.

4.1.3. Verificação dos artefatos A verificação dos artefatos foi realizada com base no que é proposto nos Termos de Uso da

plataforma, nas orientações do próprio laudo produzido na plataforma, nas referências

apresentadas na seção de fundamentação deste parecer, bem como em boas práticas e técnicas

de forense computacional/digital comumente utilizadas nos cenários de testes.



Para a verificação de integridade dos artefatos a partir de funções de verificação foi utilizada a

ferramenta “sha512sum.exe” que faz parte do conjunto de ferramentas do Cygwin1.

4.2. Processo de cadastro na Plataforma Verifact O processo de cadastramento na Plataforma Verificat segue o padrão utilizado por diversas

outras plataformas disponíveis na Internet e envolve:

1. O fornecimento de informações básicas de uma pessoa física:

Figura 1 - Tela de cadastro de usuário na Plataforma Verifact

2. A aceitação dos termos de uso, uma cópia textual dos Termos de Uso foram adquiridas

em 20/11/2018, a qual encontra-se no Anexo I – Termos de uso Verifact -versão beta:

1 https://cygwin.com



Figura 2 - Aceitação dos Termos de Uso da Plataforma Verifact

3. E a validação do endereço de e-mail cadastrado:

Figura 3 - Mensagem sobre a validação do endereço de e-mail



Figura 4 - E-mail sobre a validação do endereço cadastrado na Plataforma Verifact

4.3. Processo de aquisição de potenciais evidências digitais O processo de aquisição de potenciais evidências digitais e na Plataforma Verifact é chamado

de “captura técnica de provas digitais”.

Após uma pessoa física cadastrar-se, a qual será a solicitante e operadora da captura técnica de

provas digitais, ela poderá seguir os passos do processo de captura, conforme demonstrado na

Figura 5:



Figura 5 - Diagrama simplificado do processo de captura técnica de provas digitais com a Plataforma Verifact

Iniciar Captura

• O usuário informa Site (URL), Título e Informações complementares

• Aceita os termos aplicáveis

Criação de ambiente

• Ambiente virtualizado é criado e inicializado dentro da plataforma

• Usuário é direcionado para o navegador virtual

Gravação da captura

• Toda a navegação na área de captura do navegador virtual é gravada em vídeo, incluindo áudio, se houver

Captura de tela (opcional)

• Opcionalmente o usuário adquire captura de telas durante a navegação

Conclusão da captura

• O usuário comanda a conclusão da captura

Processamento da captura

• A ferramenta informa ao usuário sobre o processamento da captura

Notificação do usuário

• O usuário é notificado por e-mail sobre a conclusão do processamento da captura

Obtenção dos artefatos

• O usuário pode obter o laudo e demais arquivos vinculados à captura realizada

Compartilhar captura (opcional)

• Opcionalmente o usuário poderá compartilhar a captura realizada



4.3.1. Iniciar captura O início da captura ocorre a partir da página “Nova captura”, onde é possível encontrar vídeos

tutoriais sobre o funcionamento da ferramenta e sua utilização para os mais variados tipos de

capturas.

Nesta página o usuário deve:

• Fornecer Site (URL) alvo do início da captura, título da captura e informações

complementares que serão utilizados pela empresa.

• Aceitar os termos aplicáveis;

• Clicar no botão “Iniciar captura” para comandar seu início:

Figura 6 - Nova captura



4.3.2. Criação e inicialização de ambiente A partir deste ponto um ambiente virtual e exclusivo é criado para a chamada captura técnica:

Figura 7 - Criação de ambiente

O ambiente é então inicializado e o usuário é direcionado para ele:

Figura 8 - Inicialização de ambiente

4.3.3. Gravação da captura Deste pondo em diante toda a navegação na área de captura do navegador virtual é gravada em

vídeo, incluindo áudio, se houver. Um registro de tempo de gravação é exibido acima da área de

captura:



Figura 9 – Destaque do tempo de gravação da captura

Bem como um identificador da captura e a data e tempo coordenado universal (UTC) na parte

inferior, dentro da área de captura:

Figura 10 - Destaque do identificador da caputra e horário UTC

4.3.4. Capturas de tela Opcionalmente, capturas de telas (screen shots) podem ser comandadas a partir do ícone

localizado no canto superior direito da área de navegação:

Figura 11 - Ícone de captura de tela

4.3.5. Conclusão da captura Para concluir a captura, o usuário deve clicar no botão localizado no acima da área de navegação:

Figura 12 - Botão concluir captura

E, confirmar a sua finalização:

Figura 13 - Conclusão da captura



4.3.6. Processamento da captura Após confirmar a finalização da captura o usuário é notificado que os artefatos serão

processados e disponibilizados em até 20 minutos em sua área exclusiva para download:

Figura 14 - Processamento da captura

4.3.7. Notificação do usuário Ao final do processamento da captura, um e-mail de notificação é enviado ao usuário, com um

link direto para sua visualização e download dos artefatos:

Figura 15 - E-mail de notificação sobre a conclusão da captura



4.3.8. Obtenção e verificação dos artefatos Os artefatos produzidos pela ferramenta podem ser obtidos a partir da página de “Detalhes da

captura”.

Estes artefatos estão divididos em 4 (quatro) arquivos distintos, um PDF, um MP4 e 2 (dois)

arquivos ZIP. Estes arquivos recebem os nomes no padrão _,

onde pode ser “laudo”, “video”, “imagedata”, “metadata”

Os 3 (três) arquivos ZIP constam com seus valores de hash exibidos na mesma página de

“Detalhes da captura”, bem como, dentro do laudo em PDF. Os 4 arquivos, de acordo com o

respectivo tipo são:

• “laudo” – Laudo da captura;

• “vídeo” – Vídeo captura;

• “imagedata” – Imagens registradas;

• “metadata” – Metadados técnicos.

Figura 16 - Detalhes da captura



4.3.8.1. Laudo A verificação de integridade dos laudos, dos testes realizados foi feita como estabelecido nele

próprio, na seção 3.1 reproduzida a seguir:



Portanto, um laudo com assinatura por carimbo de tempo é considerado íntegro, autêntico e

válido quando exibido da seguinte forma:

Figura 17 - Laudo com assinatura por carimbo de tempo validada

Todos os laudos dos testes realizados foram validados com sucesso com a utilização deste

método.

A análise do conteúdo do laudo será apresentada na seção 5.



4.3.8.2. Vídeo captura A vídeo captura em formato MP4 pode ser reproduzida sem maiores problemas, incluindo

áudio, se for o caso e os recursos gráficos adicionados, conforme seção 2.3 do laudo: uma

indicação visual do clique e a legenda da captura:

Figura 18 - Exemplo de reprodução de vídeo captura em um computador com Windows 10

A integridade do artefato foi verificada com sucesso, pela produção de seu valor de hash a partir

do arquivo obtido (Figura 19) e comparação com o valor de hash constante do laudo (Figura 20):

Figura 19 - Verificação do valor de hash do arquivo da vídeo captura

Figura 20 - Valor de hash do arquivo da vídeo captura apresentado no laudo



4.3.8.3. Capturas de tela O arquivo ZIP tipo “imagedata”, contém um arquivo ‘info.csv’2 e as imagens de capturas de tela

adquiridas. O arquivo ‘info.csv’ contém as seguintes informações, uma linha para cada arquivo

de imagem de captura de tela:

• data/hora UTC – tempo coordenado universal em que foi realizada a captura da tela

• tipo – images;

• nome arquivo – nome do arquivo de imagem de captura de tela no formato

.png;

• tamanho (bytes) – tamanho em bytes do arquivo de imagem de captura de tela;

• SHA512 – valor de hash do arquivo de imagem de captura de tela;

• descrição – URL de onde foi adquirida a imagem de captura de tela.



Figura 21 - Verificação do valor de hash do arquivo ZIP de capturas de telas

Figura 22 - Valor de hash do arquivo ZIP de capturas de telas apresentado no laudo

4.3.8.4. Metadados Técnicos Conforme seção 2.2.1 do Laudo, “Consta do resultado da captura um pacote de arquivos ZIP

com os metadados técnicos. Dentro desse pacote, há ainda o arquivo ‘info.csv’, que descreve

cada arquivo de metadado e seu correspondente código hash individual”...:

2 “Os arquivos Comma-separated values, também conhecido como CSV, são arquivos de texto de formato

regulamentado pelo RFC 4180, que faz uma ordenação de bytes ou um formato de terminador de linha, separando

valores com vírgulas.” https://pt.wikipedia.org/wiki/Comma-separated_values, acessado em 04/12/2018.



• “Código HTML de página - Inicialmente os códigos HTML da página são capturados a

cada transição de url verificada na navegação. Imediatamente após a transição da url,

são monitoradas mudanças dinâmicas no conteúdo do código a cada 60 segundos, caso

verificada qualquer alteração, uma nova captura do código HTML é realizada para a

mesma url”;

• Informações de domínio: São capturadas também informações referentes ao domínio

acessado durante a navegação. Cada domínio acessado possuirá um arquivo JSON

(formato comumente usado em softwares) constando informações do serviço WHOIS

(dados do registro do domínio), lista de endereços IP nos formatos IPV4 e IPV6 (o

segundo, se disponível) associados ao domínio, servidores DNS usados na consulta, e,

se disponível, informações públicas do certificado SSL usado na encriptação do acesso

via protocolo HTTPS.

• Registro de acessos do browser: Registro de urls de todos os recursos acessados pelo

browser internamente, o qual é feito anteriormente à encriptação do protocolo HTTPS,

sendo possível verificar os endereços completos das requisições.

• Histórico navegação urls: Registro de todas urls acessadas pelo browser durante a

navegação do usuário. Diferente do item anterior por conter somente os endereços

comumente mostrados na barra de navegação do browser.”



Figura 23 - Verificação do valor de hash do arquivo ZIP de metadados técnicos

Figura 24 - Valor de hash do arquivo ZIP de metadados técnicos apresentado no laudo

Os seguintes arquivos estão incluídos neste ZIP:

• ‘info.csv’ - contém as seguintes informações, uma linha para cada arquivo contido neste

ZIP:

o data/hora UTC – tempo coordenado universal da criação do arquivo;

o tipo – PAGESOURCE, DOMAIN_INFO, ALOG, NLOG;



o nome arquivo – nome do arquivo no formato -

_.;

o tamanho (bytes) – tamanho em bytes do arquivo;

o SHA512 – valor de hash do arquivo;

o descrição – descrição do arquivo ou URL relacionada.

• ‘navigation_< identificador_da_captura >.csv’ – contém o “histórico navegação urls” e

as seguintes informações, uma linha URL acessada:

o data/hora UTC – tempo coordenado universal em que foi acessada a URL;

o url – URL acessada;

• ‘requests_browser_< identificador_da_captura >.csv’ – contém o “registro de acessos

do browser” e as seguintes informações, uma linha para cada requisição registrada:

o data/hora UTC – tempo coordenado universal em que foi registrada a

requisição;

o método – qual o método utilizado na requisição, normalmente GET ou POST;

o caminho – qual o caminho e eventuais parâmetros da requisição;

o host – qual o endereço servidor foi requisitado;

o http – versão de protocolo HTTP utilizada na requisição;

• ‘domaininfo__< identificador_da_captura >.json – um ou mais arquivos

contendo “Informações de domínio”;

• ‘source-_.html – um ou mais arquivos

contendo “código HTML de página”.

4.3.9. Compartilhar captura O usuário pode compartilhar capturas a partir da página de “Detalhes da captura”, clicando no

botão:

Figura 25 - Botão Compartilhar Captura

Na janela “Compartilhamento seguro” o usuário clica no botão “Criar no link”:



Figura 26 - Janela de compartilhamento de captura

O link é então criado e o usuário pode copiá-lo, assim como a sua senha para compartilhamento

por e-mail ou outro meio.

Figura 27 - Link de compartilhamento de captura criado

De posse do link e senha, acesso pode ser realizado por qualquer navegador:

Figura 28 - Acesso ao link de compartilhamento de captura



Se o usuário que compartilhou o link clicar novamente no botão “Compartilhar Captura” na

página de “Detalhes da Captura”, poderá visualizar a quantidade de acessos já realizados

utilizando o link compartilhado:

Figura 29 - Contador de acessos ao link de compartilhamento de captura atualizado

5. Análise de laudo documental emitido pela plataforma Nesta seção serão analisadas questões relacionadas ao laudo documental emitido pela

plataforma. Um exemplo encontra-se no Anexo II – Exemplo de Laudo da Plataforma Verifact.

5.1. Estrutura do laudo O documento do laudo possui o mínimo de 12 páginas e a quantidade total varia, principalmente

em função da quantidade de capturas de telas realizadas, sendo que cada uma é apresentada

em uma página individual, contendo também o tempo coordenado universal e a URL da captura,

como no exemplo abaixo:



Figura 30 - Exemplo de página de laudo com captura de tela

Em todas as páginas, no cabeçalho é impressa a logomarca Verifact e no rodapé é impresso o

identificador da captura, o número da página e o número total de páginas e, segue a estrutura

apresentada na Tabela 1, onde também é apresentado um resumo do conteúdo de cada

seção/subseção.

Tabela 1 - Estrutura do laudo emitido pela Plataforma Verifact

Seção Resumo do conteúdo

Capa Logo marca VERIFACT;

Título do documento

Identificador único do documento

Introdução Explanação resumida sobre a plataforma / ferramenta

Certificação Apresenta os “Selos” “Carimbo de tempo” e “Captura Técnica”

1. Detalhes da captura Identificador - único do documento

Site início captura – URL alvo da aquisição de evidências

Iniciada em – data / hora UTC do início da aquisição em vídeo

Finalizada em – data / hora UTC do fim da aquisição em vídeo

Tempo de captura – tempo de duração da aquisição em vídeo

1.1 Autor da captura Nome

Documento



Email

Celular

IP de acesso à Verifact

1.2 Arquivos captura Lista os arquivos e respectivos valores de hash constantes da respectiva captura

1.3 Imagens registradas

Lista as imagens de capturas de telas comandadas pelo usuário

1.4 Histórico de navegação

Exibe o histórico das URLs acessadas durante a captura e respectivo tempo coordenado universal

1.5 Informação de domínios

Apresenta as informações dos principais domínios acessados

2. Sobre a ferramenta Sem conteúdo

2.1 A captura em ambiente controlado e com medidas antifraude

Descreve sucintamente como a captura é realizada, precauções de segurança que o usuário pode tomar e ressalta-se a responsabilidade do usuário quanto ao conteúdo da captura

2.2 Captura em Websites

Explica sobre a captura de websites a partir de um navegador / browser seguro

2.2.1 Metadados técnicos

Informa como são apresentados e quais metadados técnicos são coletados.

2.3 Vídeo captura Apresenta a justificativa para a utilização da vídeo captura, os recursos agregados à ela e os padrões utilizados.

2.4 Registro de imagens

Informa como são disponibilizadas imagens de capturas de telas (screenshots) eventualmente adquiridas.

2.5 Integridade dos arquivos capturados

Apresenta informações sobre como a integridade dos arquivos está vinculada ao valor de hash criptográfico produzido e qual a função utilizada

2.6 O laudo PDF Destaca quando e qual o formato do laudo gerado

2.7 Assinatura Digital ICP/Brasil com carimbo de tempo

Explica as funções do carimbo de tempo aplicado ao documento, bem como as vinculações aos órgãos e entidades responsáveis pela emissão.

2.8 Horário UTC Aborda o uso do Horário UTC dentro da plataforma / ferramenta.

2.9 Observações gerais

Apresenta observações pertinentes.

3. Validação manual da captura

Descreve as possibilidades de auditabilidade e reprodutibilidade

3.1 Integridade do laudo

Explana sobre o que consiste a verificação da integridade do laudo



3.1.1 Validação de integridade através de leitores de PDF

Descreve os passos a serem seguidos para validação da integridade do laudo utilizando um leitor PDF e a cadeia de certificação da ICP-Brasil

3.2 Integridade dos arquivos da captura (vídeo e pacote metadados)

Apresenta informações sobre a verificação da integridade dos arquivos da captura, ressaltando que não se trata de uma garantia quanto à veracidade do conteúdo capturado.

3.3 Coerência das informações da captura

Recomenda verificações quanto à coerência dos dados da captura, bem como requisitar ajuda de um perito

3.4 Atalhos para ferramentas de software

Oferece links para ferramentas úteis para validação manual da captura

3.5 Serviços de validação NÃO oferecidos na versão Beta

Faz menção às validações não disponíveis nesta versão

4. Aspectos jurídicos essenciais

Apresenta aspectos de cumprimento de requisitos de segurança da informação, bem como o embasamento legal para diversos aspectos

5. Considerações sobre a versão beta

Destaca considerações importantes sobre a versão

6. Conclusões Nesta seção serão apresentadas as conclusões deste parecer técnico.

6.1. Processo de aquisição de potenciais evidências digitais Foi testado o processo utilizado na plataforma e obtidos os artefatos produzidos em todos eles

e as constatações serão apresentadas nesta seção:

• A metodologia adotada pela plataforma foi considerada consistente e aceitável para os

fins aos quais se propõe.

• A plataforma oferece uma experiência considerada praticamente normal de navegação

em um ambiente virtualizado, com desempenho suficiente durante a captura para

navegar, escutar áudios e visualizar vídeos. A experiência do usuário poderá ser afetada

pela sua disponibilidade de banda ou ainda pelo desempenho do site para o qual a

captura foi direcionada.



• Destaca-se que é um método não intrusivo e ainda que a vídeo captura agrega a

percepção de contexto e linha do tempo, o que pode ser útil em muitos casos.

• A possibilidade de utilizar-se da plataforma para aquisição de evidências digitais de

maneira imediata, a qualquer tempo e logo após o conhecimento de algum fato,

possibilita ao indivíduo evitar a espoliação da potencial evidência digital e aumentar o

seu valor como prova.

• O método de validação da integridade do laudo funciona adequadamente, como

apresentado em 4.3.8.1 e, é considerado válido se utilizados computadores, aplicativos

e origens das cadeias de certificação confiáveis.

• A técnica de controle de integridade dos dados, com base em função de verificação e

algoritmo SHA-2 512 (512bits) é bastante efetiva e largamente utilizada no âmbito de

perícias digitais.

• É evidente que os princípios fundamentais que governam a evidência digital, conforme

apresentado em [7], quais sejam a relevância, confiabilidade e suficiência, serão

atendidos apenas se a captura for conduzida com cautela. Por este e outros motivos,

dependendo do caso, tal como recomendado nos termos de uso da plataforma é

importante a leitura destes termos, assistir aos tutoriais e a consulta a um advogado.

Neste sentido também, avalia-se que os artefatos produzidos pela plataforma não

podem ser considerados, por exemplo, como substitutos de uma Ata Notarial, porém,

podem formar um meio de prova consistente, seja em um momento ou ocasião na qual

não seja viável obtê-la imediatamente ou inda, o custo seja muito elevado.

• Ao comparar com uma Ata Notarial, considerando seu conteúdo meramente narrativo

com produção de prova de existência, o resultado produzido pela Plataforma Verifact,

no caso específico que ela se propõe a registrar, pode ser considerado mais consistente

e confiável que o registro feito em tabeliães na atualidade, visto as boas práticas

forenses que permitem uma avaliação acurada por um perito especializado ou

assistente técnico, medidas de segurança para prevenir fraudes, metodologia utilizada

de registro e preservação, e por fim, uma prova de existência também feita por meio

regulamentado no país (carimbo de tempo ICP/Brasil).

• As práticas utilizadas em perícia digital também aplicadas na metodologia utilizada na

plataforma, bem como outras técnicas utilizadas na captura (URL fixa no início,

navegação limitada, indicação visual, etc.) podem facilitar ou embasar uma eventual

perícia posterior. Além disso, agregam maior consistência aos artefatos produzidos.



6.2. Laudo documental emitido pela plataforma Foi avaliado o laudo documental produzido pela plataforma e as constatações serão

apresentadas nesta seção:

• Nenhum aspecto foi observado que implique em diminuição de sua consistência ou do

seu valor como documento que possa embasar investigações ou proposituras de ações.

• Desta forma, considera-se que o documento também é válido e consistente para os fins

a que se destina.

• Ressalta-se ainda que, de posse de cópias do laudo e dos demais artefatos produzidos

na captura, o indivíduo poderá fazer uso deles, mesmo que a plataforma não esteja

disponível, por qualquer motivo ou que a captura já tenha sido removida da plataforma.

7. Encerramento As conclusões deste parecer técnico limitam-se aos aspectos mencionados na introdução deste

documento e à versão corrente da Plataforma Verifact.

Este documento não poderá ser utilizado para respaldar ou contestar a utilização da Plataforma

Verifact ou suas ferramentas em casos específicos.

Este documento conta com 77 páginas, incluindo seus anexos.

Maringá-PR, 10 de janeiro de 2019.

Uelinton B. dos Santos / Perito Digital



8. Referências

[1] J. Caudron e D. Van Peteghem, Digital Transformation: A Model to Master Digital

Disruption, Bookbaby, 2014.

[2] IDG Communications, Inc, “2018 STATE OF DIGITAL BUSINESS TRANSFORMATION,” IDG

Communications, Inc, 2018.

[3] L. Columbus, “The State Of Digital Business Transformation, 2018,” Forbes Media LLC, 22

04 2018. [Online]. Available:

https://www.forbes.com/sites/louiscolumbus/2018/04/22/the-state-of-digital-business-

transformation-2018. [Acesso em 04 12 2018].

[4] Internet Live Stats, “Google Search Statistics,” Internet Live Stats, [Online]. Available:

http://www.internetlivestats.com/google-search-statistics/. [Acesso em 04 12 2018].

[5] Statista, “Number of unique mobile subscribers worldwide from 2010 to 2020 (in billions),”

Statista, [Online]. Available: https://www.statista.com/statistics/371780/unique-mobile-

subscribers-worldwide-from-2008/. [Acesso em 04 12 2018].

[6] F. Oliveira, “Facebook chega a 127 milhões de usuários mensais no Brasil,” Folha de São

Paulo, 18 07 2018. [Online]. Available:

https://www1.folha.uol.com.br/tec/2018/07/facebook-chega-a-127-milhoes-de-

usuarios-mensais-no-brasil.shtml. [Acesso em 04 12 2018].

[7] ABNT, ABNT NBR ISO/IEC 27037:2013 Tecnologia da informação — Técnicas de Segurança

- Diretrizes para Identificação, coleta, aquisição e preservação de evidência digital, Rio de

Janeiro: ABNT, 2013.

[8] Presidência da República, Casa Civil, Subchefia para Assuntos Jurídicos, “Código de

Processo Civil: LEI Nº 13.105, DE 16 DE MARÇO DE 2015,” 16 03 2015. [Online]. Available:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm. [Acesso em

04 12 2018].

[9] C. Queiroz e R. Vargas, Investigação e Perícia Forense Computacional: certificações, leis

processuais e estudos de caso, Rio de Janeiro: Brasport, 2010.

[10] ICP-Brasil, “Visão Geral do Sistema de Carimbos do Tempo na ICP-Brasil DOC-ICP-11 v.1.3,”

2015.



[11] A. Nash, W. Duane, C. Joseph e D. Brink, PKI: Implementing and Managing E-Security,

Berkeley: Osborne/McGraw-Hill, 2001.

[12] Valid Certificadora, “CARIMBO DE TEMPO: POR QUE ELE DÁ MAIS CONFIABILIDADE À

CERTIFICAÇÃO?,” Valid Certificadora, 11 07 2016. [Online]. Available:

http://blog.validcertificadora.com.br/?p=7991. [Acesso em 04 12 2018].

[13] P. M. d. S. Eleutério e M. P. Machado, Desvendando a computação forense, São Paulo:

Novatec, 2011.



Anexo I – Termos de uso Verifact -versão beta

Do Objeto

Este documento corresponde aos Termos de Uso da plataforma Verifact. Estabelece, pois, uma

descrição do serviço prestado, incluindo o funcionamento técnico, a finalidade e os limites de

utilização. Aborda, ainda, as regras que irão reger a relação entre o usuário e a plataforma,

sobretudo as obrigações e as prerrogativas inerentes a cada um. Ao aceitar estes Termos de

Uso, portanto, o usuário compromete-se a seguir as diretrizes aqui apontadas. Razão porque se

recomenda a leitura integral e detalhada deste documento.

O acesso aos serviços da Plataforma somente será possível mediante o prévio preenchimento

de cadastro e a concordância com estes Termos de Uso.

Da Descrição do Serviço

Sobre a ferramenta

A Verifact disponibiliza ferramenta que viabiliza a captura técnica de fatos ocorridos ou

retratados em websites ou aplicações, incluindo os mais expressivos provedores de informação

ou de serviço. Com interface amigável e usabilidade aprimorada, pode ser operada por qualquer

usuário com conhecimentos básicos de tecnologia. Além disso, esta ferramenta foi concebida

para oferecer um alto nível de segurança, justamente para que o resultado final seja um registro

claro e incontestável da captura no ambiente digital.

Esta ferramenta também permite a captura em forma de imagem durante a navegação pelo

browser virtualizado. Diferentemente da tecla print screen padrão, porém, a imagem capturada

não é copiada para a área de transferência do sistema operacional, mas sim vinculada aos

resultados da captura principal em vídeo. Nesses resultados, constará também a indicação do

momento da captura em que foi(ram) efetuado(s) o(s) registro(s) da(s) imagem(ns) via

screenshot.



Findo o procedimento, a Verifact emitirá um laudo técnico. Esse documento, somado a um

arquivo de vídeo e um pacote ZIP de metadados digitais, compõe a captura técnica. Além disso,

caso o usuário tenha utilizado a função screenshot da Verifact, a(s) imagem(ns) capturada(s)

estará(ão) armazenadas em um terceiro arquivo, ao qual se fará remissão no próprio laudo.

Captura técnica com medidas antifraude

A captura da prova digital é realizada em um ambiente com medidas antifraude, que permite ao

usuário navegar normalmente, porém, sem a possibilidade de alterar os conteúdos acessados

ou o resultado da captura. A cada nova captura, um novo ambiente é criado, evitando qualquer

influência de outros dados na situação corrente. Ao finalizar, os dados pertinentes da captura

(vídeo, metadados técnicos e eventuais capturas de imagem - screenshot) e da averiguação do

sistema (metadados de acesso exclusivo Verifact) são compilados e salvos de forma encriptada

em um servidor seguro de armazenamento. Todos os dados residuais da coleta são então

removidos do ambiente de modo seguro por meio do método Gutmann com sobrescrição com

dados randômicos por 5 vezes em cada arquivo, evitando qualquer possibilidade de recuperação

ou acesso indevido.

A ferramenta condiciona o usuário a iniciar a captura a partir de um domínio (ex:

www.facebook.com.br), sem a possibilidade de acessar subpáginas ou urls com parâmetros.

Então, o usuário deve percorrer todo o caminho entre o domínio inicial e a situação que deseja

registrar dentro do site indicado. Não é permitida a alteração manual da URL durante a

navegação. Também não é permitida a pausa da captura durante seu curso, ou seja, toda a

interação do usuário com o conteúdo é gravada ininterruptamente. Portanto, o resultado final

refletirá toda a navegação no ambiente, do início ao fim.

No decorrer da captura também são coletados metadados técnicos, que podem apoiar a análise

de um especialista sobre a veracidade do conteúdo.

Por fim, considerando que o início do ambiente de captura e a gravação de vídeo são acionados

em processos diferentes, pode haver uma pequena diferença entre o tempo de uso verificado

nas datas e a duração da vídeo-captura, sem qualquer prejuízo aos objetivos da prova coletada.



Vídeo Captura

A gravação em vídeo permite uma verificação clara e transparente da situação digital, livre de

qualquer distorção capaz de desvirtuar a interpretação do conteúdo capturado, bem como de

imagens estáticas e sem contexto.

Dois recursos gráficos são adicionados à gravação: a representação gráfica do cursor no

momento do clique e a legenda da captura. Dois círculos vermelhos concêntricos permitem

observar claramente os momentos em que os cliques são efetuados. Já a legenda exibe o código

identificador e a hora corrente UTC, facilitando a identificação do vídeo.

Caso precise digitar alguma senha durante a captura, o usuário poderá valer-se do teclado virtual

disponibilizado pela Verifact, a qual, ao fim da captura, deletará todos os registros do conteúdo

digitado.

O vídeo é gravado no formato MP4 usando os codec H.264 (vídeo) e ACC (áudio), ambos

comumente disponíveis e compatíveis com sistema operacionais mais usados atualmente.

Devido à otimização realizada para reduzir o tamanho do vídeo, pode haver uma perda mínima

de qualidade visual, porém isso não implica em prejuízo na consistência do registro.

Metadados técnicos

Consta do resultado da captura um pacote de arquivos ZIP com os metadados técnicos. Dentro

desse pacote, há ainda o arquivo ‘info.csv’, que descreve cada arquivo de metadado e seu

correspondente código hash individual. Esses medatados facilitam o trabalho de perícia para

uma validação técnica da prova digital, caso surjam eventuais dúvidas sobre sua veracidade.

Abaixo, uma descrição breve dos tipos de arquivo de metadados:



Código HTML de página: Inicialmente os códigos HTML da página são capturados a cada

transição de url verificada na navegação. Imediatamente após a transição da url, são

monitoradas mudanças dinâmicas no conteúdo do código a cada 60 segundos; caso verificada

qualquer alteração, uma nova captura do código HTML é realizada.

Informações de domínio: São capturadas também informações referentes ao domínio acessado

durante a navegação. Cada domínio acessado possuirá um arquivo JSON (formato comumente

usado em softwares) constando informações do serviço WHOIS (dados do registro do domínio),

lista de endereços IP nos formatos IPV4 e IPV6 (o segundo, se disponível) associados ao domínio,

servidores DNS usados na consulta, e, se disponíveis, informações públicas do certificado SSL

usado na encriptação do acesso via protocolo HTTPS.

Registro de acessos do browser: Registro de urls de todos os recursos acessados pelo browser

internamente, o qual é feito anteriormente à encriptação do protocolo HTTPS, sendo possível

verificar os endereços completos das requisições.

Integridade dos arquivos capturados

Imediatamente após a captura, são gerados códigos hash SHA512 dos arquivos resultantes da

captura (vídeo e pacotes zip de metadados). A integridade dos arquivos pode ser verificada a

qualquer momento; para isso, basta gerar um novo código hash do arquivo e compará-lo com o

hash constante do laudo da captura, que está protegido de alterações, procedimento explicado

em seguida neste documento.

Sobre o hash SHA512: Este cálculo criptográfico gera uma representação mínima do conteúdo

do arquivo em um código de 64 bytes, convertidos em uma representação hexadecimal de 128

caracteres. Caso o arquivo tenha qualquer parte do seu conteúdo alterada, mesmo um único

caractere, o novo código gerado será divergente do inicial. Por essa razão, o recurso de calculos

hash é comumente usado para a verificação de integridade de arquivos.

Integridade do laudo



Finalizado o tratamento dos dados da captura, é gerado um laudo com detalhes sobre a coleta

e explicações gerais. O arquivo é criado no formato PDF/A-2B, padrão que busca a

compatibilidade futura do documento com novas ferramentas de leitura. O documento também

é assinado digitalmente com a aplicação de um carimbo de tempo ICP/Brasil.

Carimbo de tempo

O carimbo corresponde a uma assinatura criptográfica que cumpre duas funções: 1) comprovar

a data e a hora em que o arquivo foi gerado, com a hora coletada a partir dos relógios atômicos

brasileiros; 2) proteger o documento contra alterações, comportamento semelhante ao da

assinatura digital. Se houver alteração do conteúdo do documento, portanto, o carimbo perderá

sua validade. Este sistema, porém, permite que sejam inseridas novas assinaturas digitais sem a

perda de sua validade.

O selo conferido pelo carimbo de tempo possui data de expiração de dois anos. Caso seja

necessário estender a vida do documento, deverá ser realizada nova assinatura, novamente com

o recurso do carimbo de tempo. Esta ação irá garantir a integridade e a facilidade da validação

da prova no futuro.

Horário UTC

Todos os registros da captura são feitos no horário na faixa UTC. O horário UTC, ou Tempo

Coordenado Universal, consiste no fuso horário referência a partir do qual são calculados os

horários de todas as zonas do planeta. Escolheu-se este formato de horário para a ferramenta

de captura com o objetivo de evitar interpretações divergentes ou equivocadas, sobretudo em

razão das alterações promovidas pelo horário de verão e da variação de fusos horários dentro

do território brasileiro. Para converter para seu horário local, basta observar o número do GMT

em que se encontra. Por exemplo a hora 18h00 UTC é equivalente a 15h00 no GMT -3.

Segurança



A estrutura lógica da Verifact foi projetada com diversas práticas de segurança, destinadas a

conferir integridade às capturas técnicas efetuadas dentro da ferramenta, justamente para

resguardar ao máximo o valor delas como prova de fatos ocorridos ou retratados no ambiente

digital. Os detalhes não são fornecidos por questão de segurança, porém, dentre as medidas,

destacam-se as seguintes:

A captura ocorre fora do computador do usuário, em um ambiente virtualizado e com medidas

antifraude, buscando evitar adulteração do conteúdo por parte do usuário autor da captura ou

terceiros;

As senhas digitadas pelo usuário durante a captura por meio do teclado virtual oferecido pela

Verifact são deletadas ao fim do procedimento;

Os arquivos resultados da captura também são gravados de forma criptografada nos serviços de

armazenamento, com a geração de uma chave diferente para cada captura;

A geração do laudo é realizada poucos minutos após a finalização da captura, reduzindo a janela

de possibilidades para tentativas de invasão para adulteração do conteúdo;

O uso de códigos hash e arquivo PDF selado com carimbo de tempo, ambos facilmente

verificáveis, para garantir a integridade dos dados após sua captura;

Toda a comunicação com o usuário e entre servidores é feita de forma criptografada em níveis

considerados seguros por especialistas;

Diversas medidas técnicas como o uso de senhas seguras em todos os serviços, suas trocas em

intervalos regulares, firewall para proteção, comunicação autenticada e assinada entre

servidores, entre outras;



As informações sobre a captura são mantidas em bancos de dados com proteção de assinaturas

criptográficas baseadas em algoritmos post quantum, ou seja, tecnologias que oferecem

proteção para a capacidade de computadores quânticos e evitam que os dados sejam

modificados.

Validação manual da captura

A Verifact disponibiliza ferramenta que permite validar manualmente a integridade do laudo e

dos arquivos da captura técnica. Esse procedimento permite identificar se houve qualquer

alteração, acidental ou maliciosa, posterior à finalização dessa captura. Incluem-se, em primeiro

lugar, a verificação da integridade do laudo e, a partir disso, dos arquivos da captura. Os detalhes

técnicos e as instruções sobre essa validação estão descritos no laudo técnico, gerado a partir

da captura técnica.

Das limitações técnicas

O ambiente possui, entre outras, as seguintes limitações técnicas:

Com exceção do mouse, do teclado e dos dispositivos de reprodução de som, o ambiente da

captura não interage com nenhum outro tipo de periférico, como impressora, leitor de

certificado digital, token, etc.;

Durante a captura técnica, não é possível efetuar upload ou download de arquivos;

Garante-se tão somente a compatibilidade da ferramenta com sites cujo conteúdo seja

disponibilizado em HTML (todas as versões), CSS (todas as versões) e Javascript. No browser

virtualizado, portanto, são desativados recursos como extensões, bem como execução de

aplicações flash e java, o que poderá impedir o acesso do usuário a determinados conteúdos ou

mesmo a visualização de vídeos;

Só é possível navegar em uma única aba do browser, o que pode inviabilizar a navegação em

sites que direcionam o conteúdo a uma nova aba;



A captura está limitada ao total de 60 minutos. Caso esse tempo não seja suficiente, o usuário

deverá finalizar a captura corrente e continuar o registro em uma nova captura;

A captura técnica é otimizada através de codificadores de áudio e vídeo, para reduzir o tamanho

do arquivo e facilitar sua movimentação. Essa otimização pode produzir uma pequena perda de

qualidade, o que não afeta a consistência da prova;

Segurança operacional

A ferramenta Verifact cumpre com rigor estes requisitos essenciais de segurança operacional: i)

autenticação; ii) confidencialidade; iii) integridade; iv) não-repúdio; e v) tempestividade.

Quanto à autenticação, vale ressaltar que a autoria do documento produzido via Verifact é

certificada e identificada por meio do registro de acesso do usuário à plataforma, via login e

senha, que estão diretamente vinculados ao cadastro por ele realizado– conforme autoriza o

art. 411, do Código de Processo Civil.

Quanto à confidencialidade, a Verifact assegura que os arquivos oriundos da captura técnica e

as informações capturadas por meio da ferramenta não serão obtidas por terceiro sem o

consentimento expresso ou tácito – via disponibilização do link de compartilhamento, por

exemplo - do usuário, ressalvada a hipótese de autorização judicial, nos termos do art. 15, 3º da

Lei Federal nº12.965/2014 (Marco Civil da Internet).

Quanto à integridade, trata-se da garantia de que os dados capturados não serão acidental ou

maliciosamente alterados. Na fase beta, o laudo é protegido com um carimbo de tempo

criptográfico, sobre o qual poderá o usuário agregar sua assinatura digital. Ressalta-se, neste

ponto, que não se trata de uma garantia relativa à veracidade do conteúdo da captura, que é de

integral responsabilidade do usuário, mas sim à constatação de que o objeto da captura não foi

alterado. Além disso, a validade do carimbo de tempo será de 2 (dois) anos; após esse período,

caberá ao usuário assinar novamente o documento, caso entenda necessário estender essa

validade, conforme instruído supra.



Quanto ao não-repúdio, a Verifact disponibiliza ferramenta que permite validar manualmente a

integridade do laudo e dos arquivos da captura técnica. O procedimento permitirá identificar se

houve qualquer alteração, acidental ou maliciosa, posterior à finalização dessa captura. Incluem-

se, em primeiro lugar, a verificação da integridade do laudo e, a partir disso, dos arquivos da

captura. Os detalhes técnicos e as instruções sobre essa validação estão descritos no laudo

técnico, gerado a partir da captura técnica.

Quanto à tempestividade, por fim, após a finalização da captura técnica, o laudo será expedido

com carimbo de tempo emitido pela autoridade certificadora Brasileira no fuso horário UTC.

Esse registro de tempo opera como uma âncora temporal, que prova a existência de um

documento em data e hora determinadas. Já o registro no fuso horário UTC (Tempo Coordenado

Universal), referência traçada pelo Meridiano de Greenwich, evita interpretações dúbias ou

equivocadas pelo horário de verão e/ou pela variação dos fusos horários dentro do território

nacional. Vale reiterar, ainda, que os carimbos do registro de tempo emitidos na versão beta

terão validade de dois anos. Verifique o método de validação para mais detalhes.

Da prestação e utilização dos serviços

O acesso aos serviços somente será possível mediante a realização prévia de cadastro de conta

na plataforma “Verifact”, no qual o usuário deverá informar, além de outros dados, endereço

de e-mail e senha pessoal intransferível.

O usuário compromete-se a fornecer dados pessoais verdadeiros, precisos, atuais e completos

durante o procedimento de cadastramento, bem como a manter atualizadas as informações

prestadas para viabilizar o funcionamento adequado dos sistemas Verifact.

A Verifact poderá encerrar a assinatura caso identifique falsidade ou má--fé empregadas pelo

usuário, podendo impedir seu posterior regresso aos serviços oferecidos, sem direito a qualquer

tipo de compensação. A rescisão, nessa hipótese, será previamente comunicada ao usuário.



O usuário compromete-se a conservar sob sigilo seus dados cadastrais e de acesso. É, pois,

responsável pelo uso que deles é feito, bem como pelas operações efetuadas em sua conta.

Em caso de perda do login e/ou senha, o usuário deverá acessar o recurso específico de

recuperação de senha existente na plataforma e realizar os procedimentos necessários para a

devida recuperação das informações.

É vedado o acesso ou a utilização da conta em mais de um dispositivo simultaneamente. Em

caso de tentativa de login ou utilização do serviço de forma simultânea, a Verifact poderá

desconectar o usuário de sua conta. Além disso, a reincidência da conduta poderá ensejar o

encerramento da conta e/ou o bloqueio ao acesso e à utilização do serviço.

Durante a versão beta, o serviço de captura técnica será oferecido de maneira gratuita a um

número restrito de usuários previamente cadastrados e selecionados, no escopo de que se

possa testar empiricamente a ferramenta, identificar eventuais bugs e aprimorar o seu

funcionamento até a concepção da versão comercial. Em nenhuma hipótese, portanto, é

permitida a cessão – gratuita ou onerosa -, a venda, o aluguel, o empréstimo, ou qualquer outra

forma de transferência ou alienação do cadastro do usuário na plataforma Verifact, sob pena de

imediato encerramento da conta e/ou bloqueio ao acesso e à utilização do serviço.

Efetivado o cadastro do usuário na plataforma, a Verifact disponibilizará gratuitamente uma

quantia específica – variável de acordo com a avaliação prévia da plataforma - de créditos

gratuitos, que poderão ser utilizados nos limites estabelecidos neste documento. Finda essa

quantia, a Verifact não se obriga a conceder novos créditos de maneira gratuita, embora possa

fazê-lo mediante prévia avaliação.

A Verifact não se responsabiliza por atos de terceiros que, por fato atribuível ao usuário,

apropriem-se das imagens ou informações exibidas na plataforma.

Recomendações e restrições sobre o uso em processos judiciais



A lei admite que as partes empreguem todos os meios legais e os moralmente legítimos para

provar a verdade dos fatos alegados no processo e, assim, influir na convicção do juiz (art. 369,

Código de Processo Civil/2015).

A captura técnica, como dito, trata-se de serviço realizado por meio da ferramenta Verifact, que

permite registrar fatos ocorridos ou retratados em websites ou aplicações. A plataforma oferece

como resultado dados técnicos periciáveis e instrumentos tecnológicos que permitem uma

captura com alto nível de segurança, os quais, inclusive, são passíveis de comprovação por meio

de avaliação técnica.

Todavia, o conceito de captura técnica não é regulamentado por lei. Não está previsto no rol de

provas típicas do Código de Processo Civil (arts. 369 e seguintes, CPC/2015). Nem poderia, vez

que o seu modo de operação é, até então, inédito. Logo, essa ferramenta não tem por escopo

exercer a função de outros meios de prova previstos em lei, como, por exemplo, a ata notarial

(art. 384, NCPC). Está voltada justamente para a disrupção.

Vê-se, portanto, que, embora não esteja especificamente descrita na lei, a captura técnica pode

tecnicamente ser aceita como meio de prova em juízo.

Por óbvio, a Verifact não oferece qualquer garantia de admissão da captura técnica pelo

Judiciário, seja em primeira ou segunda instâncias, seja nas Cortes Superiores. A propósito, nem

mesmo os meios de prova típicos (isto é, previstos em lei) podem garantir que os fatos por meio

deles registrados terão efetividade como prova em juízo. Ao lavrar a ata notarial, por exemplo,

o escrivão limita-se a descrever a situação a ele apresentada, mas não pode garantir que o

documento produzido será admitido em juízo, nem que os fatos capturados serão reputados

verdadeiros.

Recomenda-se, pois, ao usuário a consulta a um advogado para saber se este serviço é o mais

recomendado para o registro do seu caso.

Isso poderá aumentar significativamente a efetividade do resultado da captura técnica como

prova de fatos jurídicos em um processo.



A Verifact não se responsabiliza por eventual recusa da captura técnica como meio de prova,

em juízo ou fora dele, seja por motivos técnicos seja por falha na execução. Reitera-se, neste

ponto, que o juízo é livre para valorar as provas e julgar o caso como lhe aprouver, situação que

está integralmente fora da zona de controle da Verifact. A responsabilidade pela não aceitação

ou não utilização da captura técnica é, pois, integralmente do usuário.

A Verifact, em decorrência do exposto, não se responsabiliza por eventuais custas processuais

relacionadas a provas periciais ou à necessidade de inspeção da captura técnica por profissional

designado pelo juízo.

A Verifact não poderá ser nomeada assistente técnica pelo usuário, salvo por contratação e

autorização expressas (por escrito), sob pena de responder o usuário que efetuou a captura por

todas as perdas e danos decorrentes do ato, bem como de multa equivalente a cinco salários

mínimos vigentes à época do fato.

A Verifact não poderá ser indicada como testemunha ou amicus curiae nos casos em que a

captura técnica for utilizada, sob pena de responder o usuário que efetuou a captura por todas

as perdas e danos decorrentes do ato, bem como de multa equivalente a cinco salários mínimos

vigentes à época do fato.

A Verifact não tem qualquer obrigação de se manifestar em processos judicias ou casos

extrajudiciais, nem de fornecer parecer técnico para o usuário que utiliza a captura técnica como

meio de prova.

A obrigação de informar sobre o funcionamento e as especificações técnicas da ferramenta

caberá, pois, integralmente ao próprio usuário, especialmente quando utilizada a via judicial.

Complexidade da virtualização e possíveis instabilidades



A ferramenta provê um acesso remoto a um ambiente virtualizado e controlado para as

capturas. Devido à sua complexidade técnica, podem ocorrer instabilidades durante o processo

de coleta, como lentidão na navegação na área de coleta, perda de comunicação com o servidor,

entre outras.

Em caso de perda de conexão com os servidores, a plataforma aguardará o retorno do usuário

por até 5 minutos. Passado esse período, haverá o cancelamento automático da captura. Caso

ocorra, caberá ao usuário retornar à ferramenta e realizar nova captura.

É possível que ocorram instabilidades técnicas também no servidor de captura. Nesse caso, para

manter a segurança e a integridade da coleta, a ferramenta irá cancelar totalmente o processo

durante a navegação e a coleta dos dados. Caso o problema persista, entre em contato com

nosso suporte para a avaliação e a correção do problema. Essas falhas são incomuns, mas

passíveis de acontecer em até 3% dos casos.

Diante dessas possíveis instabilidades, bem como do fato de que a ferramenta está em fase beta

– de testes, portanto -, a Verifact não garante nem se responsabiliza pela perda de informações

causada por estas instabilidades técnicas.

Não é recomendado o uso da ferramenta para gravar eventos que ocorram ao vivo, em tempo

real.

O acesso ao site objeto de captura é realizado pelo servidor de virtualização, o qual pode estar

em data centers localizados no Brasil, nos Estados Unidos ou na Europa. Não há possibilidade

de escolha da localidade por parte do usuário, o que poderá prejudicar os resultados dos

mecanismos de busca que utilizem a localização geográfica para determinar o conteúdo.



Ressalta-se, ainda, que os serviços Verifact estão submetidos a constantes atualizações e

aprimoramentos, destinados sobretudo a lapidar a ferramenta ou corrigir eventuais falhas.

Também por esse motivo, portanto, a ferramenta poderá sofrer instabilidades técnicas.

Da autoria

A responsabilidade pelo direcionamento do conteúdo da captura é integralmente do usuário.

Cabe, pois, a ele apontar o contexto e indicar de maneira inequívoca os pontos relevantes que

pretende provar por meio da captura. A Verifact não tem controle, e não assume

responsabilidade pelo conteúdo, políticas de privacidade ou práticas de qualquer site de

terceiros. Além disso, a Verifact não pode e não censura nem edita conteúdo de qualquer site

de terceiros.

Caso a captura seja direcionada de maneira falha, as consequências da fragilidade da prova

serão imputadas exclusivamente ao usuário que a conduziu. Para que as capturas sejam mais

efetivas, recomenda-se ao usuário que leia as instruções dispostas neste documento e no site

Verifact, assista aos tutoriais, bem como consulte um advogado. Isso otimizará a captura e

permitirá melhor aferição dos pontos mais relevantes de prova para o caso concreto.

O usuário é, em suma, responsável por quaisquer consequências relativas ao conteúdo

capturado.

A Verifact não respalda, apoia, nem garante a integridade, veracidade, precisão ou

confiabilidade de qualquer conteúdo capturado por meio de sua ferramenta.

Se da captura técnica resultar conduta delituosa, a responsabilidade será integralmente

atribuída ao usuário, que, como dito, é quem está no volante da ferramenta. O princípio lógico

aqui é o mesmo que de qualquer instrumento passível de utilização indevida, para algum fim

diverso daquele para o qual foi criado. Assim também o são o veículo automotor, a faca, o

alicate, o maçarico, a motosserra, etc.. Todos criados para aprimorar tarefas que o ser humano

precisa realizar, mas com potencial de servir de instrumento para a realização de delitos, o que

não torna as montadoras de carros ou as fabricantes de utilidades domésticas responsáveis pelo

ocorrido. Em suma, portanto, a Verifact não poderá ser responsabilizada pela utilização indevida



da ferramenta de captura técnica, sobretudo no que tange à prática de delitos, como a violação

de direito autoral, a extorsão, a exploração sexual, a pedofilia, entre outros.

A Verifact, aliás, respeita os direitos de propriedade intelectual de terceiros e espera que seus

usuários façam o mesmo, em especial durante a utilização da ferramenta.

A Verifact não endossa quaisquer opiniões ou fatos danosos expressados pelo usuário ou por

terceiro por meio do serviço.

Do compartilhamento da captura

Da captura técnica resultam um arquivo de vídeo e um pacote ZIP de metadados digitais. Como

esclarecido, a Verifact garante o armazenamento desses arquivos pelo prazo de seis meses,

contados da data da respectiva captura. O acesso a eles, porém, é reservado ao usuário que

efetuou a captura. Só ele poderá acessá-los, por meio de login e senha em sua conta Verifact.

A Verifact não compartilha nem torna públicos os arquivos resultantes da captura. Somente o

usuário poderá, pois, compartilhar, copiar, repassar ou divulgar esses arquivos. A

responsabilidade decorrente dessas condutas será, desse modo, integralmente do usuário.

A Verifact disponibiliza ao usuário a opção de acessar os arquivos por meio de um link – DNS -,

que também ficará disponível pelo mesmo prazo de seis meses. Assim como no caso dos

arquivos, a divulgação do link de acesso ao conteúdo da captura - em um processo judicial, por

exemplo - é de integral responsabilidade do usuário. A Verifact não compartilha nem torna

público, de maneira alguma, o aludido link de acesso. Só o usuário, de espontânea vontade,

poderá fazê-lo, assumindo, por consequência, os riscos dessa conduta.

Cancelamento da captura

Maringá – P

plataforma verifact · 2020. 1. 14. · • o laudo documental emitido pela plataforma. pessoas...

Documents