Curso de Perícia Forense Computacional

UNIFOR – Julho de 2009
Instrutor.: Claudemir Queiroz

Curso de Perícia Forense Computacional

Com o se r á n osso cu r so?
Aulas teóricas

importante para o embasamento na criação de Periciais
importante para o embasamento na criação de Laudos Laudos Periciais

Aulas práticas

utilizando de ferramentas forense computacional

resolvendo casos fictícios

Aulas de segunda a sexta

18:00 – 22:00hs

Fr e qu ê n cia m ín im a pa r a a pr ova çã o n o cu r so 7 5 %

Prova no último dia (dupla)
Prova no último dia (dupla)

provavelmente dia 25(sábado) de 8 às 12hs

Aprovação na prova

receberá o certificado de Perito Forense Computacional

Instrutor (quem sou?)

# Bacharel em Ciência da Computação pela Faculdade Lourenço Filho;

# Security Officer do Grupo Café Santa Clara;
# Perito Forense Computacional;
# Professor Universitário;
# Mestrando pelo MPCOMP/UECE – linha de pesquisa em Computação Forense;
# Presidente da Associação dos Peritos em Computação Forense do Estado do
Ceará (APCF-CE).

Qu e m sã o os fu t u r os Pe r it os For e n se
Com pu t a cion a l?

O que fazem na vida profissional

Lit e r a t u r a s Re com e n dé ve is

A Forense Computacional é uma ciência
científica.

Colocar aqui os livros disponíveis no mercado

O que iremos Estudar nesse Curso.

I n t r odu çã o e Con ce it os
Antecedentes da forense computacional
O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
O qu e é for e n se e for e n se com pu t a cion a l e on de se a plica m
O que é ciência forense
O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is
Requisitos de uma evidência
Requisitos de uma evidência
O qu e é in ve st iga çã o for e n se
O que prova pericial
O que éé prova pericial
O qu e é in ve st iga çã o com pu t a cion a l
O que é cadeia de custódia
Fonte
Fon t e de e vidê n cia s e pr ova s ( M e ios / I m a ge m / Evidê n cia
evidências provas Meios magem Evidência
Volátil)
O que é e como se comportar em uma cena de um crime
O qu e é e com o se com por t a r e m u m a ce n a de u m cr im e

Pr oce dim e n t os I n ve st iga t ivos e fon t e da s pr ova s

Como se preservar as evidências e suas respectivas provas
Or de m de pr e se r va çã o de e vidê n cia s
Erros em procedimentos investigativos
Requisitos investigativos
Princípios e processos forenses
Forense em sistemas operacionais e sistemas de arquivos
Forense em resposta a incidentes

M e t odologia For e n se
Investigação em pessoas e testemunhos
Investigação em pessoas e testemunhos
Investigação no local do crime
Investigação das evidências e provas
Enfoques da investigação
da investigação
Como se concluir uma investigação
Cuidados na recepção da evidência
Integridade de evidências e provas
Geração de HASH
Geração de imagens
imagens
Coleta de evidências em ambientes “vivos” e sistemas estáticos
Procedimentos para Cadeia de custódia
Análise de dados
dados
Palavras chave
Linha de tempo
Recuperação de dados
Eva sã o for e n se ( cr ipt ogr a fia , de st r u içã o física e e st e ga n ogr a fia )

Fe r r a m e n t a s e e qu ipa m e n t os for e n se s

Solu çõe s e m soft w a r e e h a r dw a r e gr a t u it a s e com e r cia is sã o

apresentadas

em sala
e m sa la de a u la , in clu in do H e lix , fe r r a m e n t a s Sysin t e r n a ls,
aula, incluindo Helix, ferramentas Sysinternals,

Winhex entre outros.

Re fe r ê n cia s e docu m e n t os dispon íve is de for e n se com pu t a cion a l

que apóiam o processo investigativo.

D e se n volvim e n t o da An á lise For e n se

É a pr e se n t a do u m ca so, on de e vidê n cia s sã o ofe r e cida s pa r a

execução de uma analise forense com as ferramentas

disponíveis em sala de aula.

Ela bor a çã o do la u do pe r icia l

Importância do laudo pericial
Importância do laudo pericial

Cuidados na preparação do laudo

Itens de um laudo pericial
de um laudo pericial

Est u do de Ca sos – D e sve n da n do Ca sos Fict ícios

Acesso indevido.
Acesso indevido.

Ameaça por e- mail.

Ace sso a sit e s por n ogr á ficos( pe dofilia ) .
Acesso a sites pornográficos( pedofilia)

Roubo de informações privilegiadas com dispositivos

removíveis.

I n t r odu çã o e Con ce it os

An t e ce de n t e s da for e n se com pu t a cion a l

Ciência Forense: dividida em diversas disciplinas, que atua em
conjunto com o investigador na busca pela verdade.
American Academy of Forensics Sciences – http:www.aafs.org/

Pathology Biology
Examination of the Dead Geology
Living Cases Psychiatry
Toxicology Questioned Documents
Anthropology Criminalistics
Odontology Jurisprudence
Engeneering Computer Forensics


• Escreveu The Washing Away Of
1248 Wrongs, talvez o primeiro livro sobre
forensics da história.
Hsi Duan Yu

• Trabalha na identificação de causas
de morte, diferenciando assassinato
Século 18 de suicídio.
Antonie Louis

1813 • Considerado o pai da Toxicologia
Forense, publicou o primeiro estudo
sobre como detectar venenos.
Mathieu Orfila


• Primeiro estudo sobre impressão
1822 Digital.

Francis Galton

• Pressa por envenenar seu marido
com arsênico. Este foi o primeiro
1840 caso do uso de técnicas forenses no
tribunal
Madame Lafarge

1850 • A polícia americana e francesa
iniciaram a utilização de “mug
shots”.


• Desenvolveu os princípios de
1858 análises de documentos.

Albert Osborne

• Primeiras histórias do Sherlock
1887 Holmes

Arthur Conan Doyle

1887 • Descoberta dos grupos sanguíneos
(A, B AB e O).
Leone Lattes


• Desenvolveu os princípios de
1891 análises de documentos.

Calvin Goddard

• Publicou “Fingerprints”, fornecendo
evidências estatísticas para
1892 reconhecimento de impressões
digitais .
Francis Galton

• Fascinado pelo “Problem Princípio
Início do Século 20 de Locard .

Edmund Locard


1932
• .
FBI criou o primeiro
laboratório de serviços
forense

• Iniciou a utilização de bioquímica
1934 na resolução de crimes .

Paul Leland Kirk

• Pioneiro no uso de lasers para
1970 localizar impressões digitais .

Roland Menzel


• Descobriu que cada pessoa
possui um DNA único. Sua
1985 descoberta revolucionou a
medicina forense.
Alec Jeffreys

Dias Atuais

O qu e é e o qu e fa z u m pe r it o e pe r it o
for e n se in for m á t ico


“Ciê n cia for e n se é destinada a preservar,
adquirir, obter e apresentar dados que foram
processados eletronicamente e armazenados em
dispositivo de computador”

D e pa r t a m e n t o de Ju st iça dos Est a dos Un idos da Am é r ica -
FBI


Obt e n çã o e Cole t a de D a dos;

I de n t ifica çã o;

Pr e se r va çã o;

An á lise ; e

Apr e se n t a çã o.


Obt e n çã o e Cole t a de D a dos

Os procedimentos adotados na coleta de dados devem ser
formais, seguindo toda uma metodologia e padrões de como se
obter provas para apresentação judicial, como um checkList.


I de n t ifica çã o

Dentre os vários fatores envolvidos no caso, é
extremamente necessário saber separar os fatos dos fatores,
que possam vir a influenciar ou não um crime, para estabelecer
uma correlação na qual se faz um levantamento das ligações
relevantes como datas, nomes de pessoas, autarquias, etc,
dentre as quais foi estabelecida a comunicação eletrônica.


Pr e se r va çã o

Um Perito Forense Computacional experiente, de acordo
com Kerr (2001), terá de ter certeza de que uma evidência
extraída deverá ser adequadamente manuseada e protegida para
se assegurar de que nenhuma evidência seja danificada,
destruída ou mesmo comprometida pelos maus procedimentos
usados na investigação e que nenhum vírus ou código malicioso
seja introduzido em um computador durante a análise forense.


An á lise
Na concepção de Kerr (2001), a análise será a pesquisa
propriamente dita, onde o investigador se detém
especificamente nos elementos relevantes ao caso em questão
pois todos os filtros de camadas de informação anteriores já
foram transpostos.
Novamente, deve-se sempre ser um profissional atento e
cuidadoso em termos da obtenção da chamada "prova legítima",
a qual consiste numa demonstração implacável e inquestionável
dos rastros e elementos da comunicação entre as partes
envolvidas e seu teor, além das datas e trilhas dos segmentos de
disco utilizados.


Apr e se n t a çã o
De acordo com Freitas (2006) esta fase é tecnicamente
chamada de "substanciação da evidência", pois nela consiste o
enquadramento das evidências dentro do formato jurídico, sendo
inseridas, pelo juiz ou pelos advogados, na esfera civil ou
criminal ou mesmo em ambas.
Desta forma, quando se tem a certeza material das
evidências, atua se em conjunto com uma das partes acima
descritas para a apresentação das mesmas.

O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam

A Ciência da Perícia Forense Computacional, pode ser aplicada
nas esferas particulares e órgãos governamentais.

aplicam

Cla ssifica çã o dos Pe r it os For e n se Com pu t a cion a l

Perito Judicial

Perito Criminal (cívil ou Federal)

Perito Extrajudicial

Assistente Técnico.

aplicam

O Perito Judicial

Nomeado pelo juíz para cada processo, deve possuir formação e habilidades
comprovadas. Não é funcionário público.

aplicam

O Perito Criminal (Cívil ou Federal)

São funcionários públicos que trabalham na polícia, mas não são policiais.

aplicam

Perito Extrajudicial;

Responsável pela elaboração de laudos técnicos, normalmente utilizados em
processos para o que chamam de produção antecipada de provas.

aplicam

Assistente Técnico

É nomeado pelas partes no processos judiciais para que acompanhem o trabalho
do perito judicial.

O qu e é e com o sã o a s e vidê n cia s e
e vidê n cia s digit a is

O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is

Evidê n cia

Do latim evidenti

Certeza manifesta

Qualidade ou condição do que é evidente

Provas

Demonstrações

O qu e é e com o sã o a s e vidê n cia s digit a is

Tipos de Evidê n cia



“Melhor Evidência”

Evidência documentada, geralmente contratos assinados (original),

pode ser um email assinado digitalmente.
digitalmente.



“Evidência Secundária”

Testemunho.
Testemunho. Cópia de um documento, arquivo de computador.
computador.



“Evidência Conclusiva”

Evidência irrefutável que não pode ser negada. Não requer
.

corroboração. Uma filmagem caracteriza este tipo de evidência.



“Evidência Circunstancial”

Pode ser utilizada para deduzir ou assumir a existência de outro

fato. Ex: usuário estava logado no momento do incidente.



Opinião de um Expert

O que chamamos de “visão de um expert”. Não opera opiniões,

Mas fatos – relatórios ou laudos fornecidos por especialistas.



Vestígios (logs)

Evidências de segunda mão. Nesta categoria são enquadradas os

registros de computador.

Considerar Sempre

Suficiência

Confiabiliade

Relevância

At r ibu t os da Evidê n cia

Pr im e ir o

Se r Con fiá ve l
l.

Características que garantem a confiabilidade da
evidência coletada.


Se gu n do

Se r Su ficie n t e .

Capaz de explicar o evento como um todo.


Te r ce ir o

Se r Re le va n t e .

Possuir relação direta com o caso.

Sobr e a s Evidê n cia

O qu e FAZER

Anotar e fotografar o setup e as conexões dos equipamentos

Permitir a finalização da impressão

Gravar o que estiver na tela (print- Ata Notarial)

Gravar o número do modem se o telefone estiver conectado

Empacotar e selar as evidências.

Observe


O qu e n ã o FAZER

Guardar as mídias próximo a telefone celular ou fontes
geradoras de energia

Iniciar a investigação imediatamente

Fechar programa e desligar o equipamento

Deixar suspeitos alterar configurações nas máquinas

Mover o equipamento ligado.


Algu n s t ipos de Evidê n cia s

Arquivos digitais

Cookies

Fotografias

Browser Tattos

Email


Algu n s t ipos de Evidê n cia s

Logs dos servidores

Histórico do Browser

Cache do Browser

Bookmarker

Logs de IRC e IM

D ica s Sobr e a s Evidê n cia

D ica s r e la cion a da s sobr e Evidê n cia s

Quanto maior o nível de identificação, maior será a dificuldade em convencer o juíz

Existem diversas “verdades”, tenha mente aberta

Não menospreze os detalhes (o perito precisa ser perspicaz)

Crie uma visão do todo (filme CSI – os peritos por várias vezes refazem e estudam a
cena do crime – simulam. Ex: caso menina Isabela Nardoni)

Use analogia para fazer a testemunha entender sobre o que você está falando

O qu e é Pr ova Pe r icia l
I n ve st iga çã o Com pu t a cion a l

O qu e é pr ova pe r icia l

"Perícia é o exame feito em pessoas ou coisas, por profissional portador de
conhecimentos técnicos e com a finalidade de obter informações capazes de
esclarecer dúvidas quanto a fatos. Daí chamar-se perícia, em alusão à
qualificação e aptidão do sujeito a quem tais exames são confiados. Tal é
uma prova real, porque incide sobre fontes pasivas, as quais figuram como
mero objeto de exame sem participar das atividades de extração de
informes"


Perícia informal. É prevista no artigo 421, § 2º, do CPC: "Quando a natureza
do fato o permitir, a perícia poderá consistir apenas na inquirição pelo juiz do
perito e dos assistentes, por ocasião da audiência de instrução e julgamento
a respeito das coisas que houverem informalmente examinado ou avaliado".
A Lei dos Juizados Especiais (Lei 9.099/95) dispõe: "Art. 35 - Quando a
prova do fato exigir, o Juiz poderá inquirir técnicos de sua confiança,
permitida às partes a apresentação de parecer técnico. Parágrafo único - No
curso da audiência, poderá o Juiz, de ofício ou a requerimento das partes,
realizar inspeção em pessoas ou coisas, ou determinar que o faça pessoa de
sua confiança, que lhe relatará informalmente o verificado".


I n cide n t e de e x ibiçã o.

O juiz pode determinar a exibição de documento
ou coisa que se ache em poder da parte ou de parte ou
de terceiro (CPC, arts. 355 e ss), para submissão a
exame pericial.


Qu e sit os su ple m e n t a r e s.

São os oferecidos antes da entrega do laudo.
Dispõe o artigo 425 do CPC: "Poderão as partes
apresentar, durante a diligência, quesitos
suplementares. Da juntada dos quesitos aos autos dará
o escrivão ciência à parte contrária".

Qu e sit os com ple m e n t a r e s.

São os oferecidos após a entrega do laudo. Visam
à prestação de esclarecimentos sobre o laudo
apresentado. O artigo 435 do CPC dispõe: "A parte,
que desejar esclarecimento do perito e do assistente
técnico, requererá ao juiz que mande intimá-lo a
comparecer à audiência, formulando desde logo as
perguntas, sob forma de quesitos. Parágrafo único - O
perito e o assistente técnico só estarão obrigados a
prestar os esclarecimentos a que se refere este artigo,
quando intimados 5 (cinco) dias antes da audiência.

For m u la çã o dos Qu e sit os .
os.

Exemplo de quesito mal formulado:

1. Que o senhor perito informe tudo o que for possível sobre o
computador analisado.

Exemplo de quesito bem formulado

2. Que o senhor perito informe se o computador analisado armazena
dados relacionados à pornografia infantil.
3. Que o senhor perito informe se o computador analisado armazena fotos
relacionadas à pornografia infantil.


Pr in cípios da An á lise For e n se Com pu t a cion a l

Pr in cípio da obj e t ivida de

O perito deve esclarecer a finalidade dos exames em seu laudo,
esclarecendo que a conduta que está em estudo e qual o tipo de
informação ele deve procurar.

“O ambiente informático é muito diverso, por isso o perito deve restringir
o escopo de forma objetiva”.

André Caricati – Perito Criminal Federal

Pr in cípio da Espe cificida de

Depois de eleito um tema de trabalho, este tema será o norte do
relatório pericial, por isso, o perito não deve tomar ou direcionar ações
técnicas que não estejam relacionadas ao tema eleito, ou seja, suas ações
e buscas são específicas para que se chegue ao menor conjunto de
dados do caso.

Pr in cípio da Sín t e se

O perito deve ter a capacidade de consolidar e demonstrar todo o
conjunto de informações coletadas por ele e sua equipe durante o
procedimento pericial.

“O objetivo pericial não é falar muito, mas sim, falar o necessário e se
fazer entender”.

Pr in cípio da Ce le r ida de

O perito deve priorizar todos os procedimentos técnicos que
tenham como função garantir o estado de coisas.

Neste caso, o perito lança mão dos conhecimentos da “ordem de
volatilidade”, ou seja, ele deve analisar sempre o material mais volátil
para o material menos volátil.

Principaisobjetivos:
Principais objetivos:

1. Garantir a preservação do maior número de dados possível.

2. Quanto maior a abrangência da coleta, maior a qualidade da pesquisa e análise dos dados.

Ca de ia de Cu st ódia

Prova onde as evidências estavam em
um determinado momento e quem era o
responsável por ela durante o curso da perícia.


Pe r m it e r e spon de r a s se gu in t e s pe r gu n t a s

Quem coletou:

Como e quando:

Quem tem a posse da evidência?

Como esta evidência foi armazenada e protegida?

Quem buscou a evidência (manipulou) durante o tempo em
que ficou armazenada? Por que?

Fon t e s de Evidê n cia s e Pr ova s

Fon t e s de Evidê n cia s e Pr ova s

As evidências e Provas Digitais são extraídos
de :
Processos

Pessoas

Computadores (aparelhos eletroeletrônicos)

Mídias digitais (cd, dvds, etc)

Com o se com por t a r e m u m a ce n a de u m
cr im e

Com o se com por t a r e m u m a ce n a de u m
cr im e

N ã o e x ist e Cr im e Pe r fe it o . . .
Princípio da Troca de Locard

Edmund Locard’s Principle of Exchange: quando dois objetos
entram em contato, sempre haverá transferência de material de
um objeto para o outro.

Se gu r a n ça da Ce n a do Cr im e

Ce n a do Cr im e

Local onde o crime aconteceu, ponto de início da investigação.
Onde se concentram o maior número de evidências físicas.

1. Cena primária: estabelecimento assaltado

2. Cena secundária: carro de transporte da vítima

3. Cena terciária: local onde a pessoa foi assassinada

4. Cena quartenária: local onde o corpo foi deixado


Pr im e ir o pa sso

Promover a segurança, proteção e preservação das evidências

Normalmente o primeiro contato é feito pelo Incident Response Team.


A ca m in h o da ce n a do cr im e , o qu e le va r :

o Evidence Bags
o Etiquetas
o Lacres
o Luvas de algodão
o HDs para duplicação
o Câmera digital


Pr e pa r a n do o Am bie n t e :

o Aproximação com uso de testemunha

o Definir um perímetro de segurança adequado

o Fotografar o ambiente e equipamento

o Verificar se o equipamento analisado é o correto

Pr oce dim e n t os I n ve st iga t ivos


Investigação

Em alguns casos não é conveniente envolver terceiros ou agentes legais

Quando os agentes legais devem ser notificados?

Notificação obrigatória:

1. Quando envolver a segurança das pessoas
2. Quando envolver a segurança nacional
3. Quando envolver pornografia infantil


Investigação

Passos para a segurança da cena

Formulação do Plano
Abordagem frente a cena do crime
Documentar

For m u la çã o do Pla n o

Antever o que você vai encontrar na cena do crime

Identificar os tipos de computadores e mídias envolvidos

Tipo de ambiente – escritório ou doméstico

Quem estará presente, suspeitos ou vítimas?

Que tipo de material para coleta de evidências será
necessário?

Definição de papeis e responsabilidades

Abor da ge m

Preparar Mandado

Considerar a segurança das pessoas envolvidas

Tomar nota de tudo (detalhadamente)

Remover os suspeitos da área

Considerar possibilidade de remover outras pessoas da área

D ocu m e n t a çã o

Iniciar narração dos eventos (gravação)

Fotografar a cena

Fotografar todos os equipamentos apreendidos

Fotografar as telas dos monitores

Preservar o layout de computadores, cabos, etiquetas, etc

Documentar condições do ambiente (temperatura e etc)

Pr in cipa is Pa ssos

Gerar hash do Hard Disk

Criar imagem do Hard Disk

Auditoria em arquivos críticos

Busca por arquivos modificados no momento do incidente

Análise de histórico de acesso à internet

Análise em arquivos removidos

Análise de logs (firewall, sistemas críticos, outros ativos . . .)

Mapear portas abertas (port scan)


Levantamento de Informações

Coleta e tratamento de evidências

Análise de resultados (Processo de Análise)

I n ve st iga çã o e m pe ssoa s e t e st e m u n h os – loca l
do cr im e !!!

Alguém Viu !

Alguém sabe !

Por que estão protegendo?

Como o Perito Forense Computacional deve agir nesse momento?

At e n çã o se n h or Pe r it o !!!

Cada processo de análise forense possui particularidades devido a
eventos e tecnologias envolvidas, o que nos leva a ter que reavaliar e
definir o melhor método/princípio de trabalho em cada um deles. As
informações apresentadas visam demonstrar os principais pontos que
uma análise forense computacional deve conter, para que o processo seja
válido e possa ser implementado denture de uma organização.

En foqu e s da in ve st iga çã o

O qu e o você qu e r “En con t r a r ?”
Lembre-se:

Perícia Forense Computacional é uma ciência técnica científica, não mãe Diná !!!

Com o se con clu ir u m a in ve st iga çã o
An á lise de Evidê n cia s
As evidências coletadas devem ser analisadas e correlacionadas com as
hipóteses levantadas.

Geração de Relatório

Agrupamento de todos os aspectos avaliados e conclusão.

Con t e ú do do Re la t ór io
Sumário Executivo
Sumário Executivo

Objetivos

Descrição do Evento

Metodologia utilizada

Breve descrição das evidências e hipóteses

Não Esqueça:

Apresentação detalhada das hipóteses.
Apresentação das evidências.

Con t e ú do do Re la t ór io
Correlação entre evidências e hipóteses.

Parecer Final – Conclusão

Anexos

Entrevistas realizadas
Entrevistas realizadas

Ativos Analisados

Fe ch a m e n t o
Início da Investigação
Início da Investigação

Requerimentos

Contato Inicial

Desenvolvimento

Identificação Incidente
Identificação dodo Incidente

Salvaguarda do Ambiente

Coleta de Evidências

Análises

Encerramento
Encerramento

Laudo Pericial

I n t e gr ida de de e vidê n cia s e pr ova s
Ge r a n do H a sh (garantir a integridade dos dados)

Como funciona a geração de
Como funciona a geração de hash? hash?

C:md5.exe c:evidencia.zip = hash do arquivo evidencia.zip

2496336ae2f2493ab2e26df901fae931

Ge r a n do im a ge n s

Cole t a de Evidê n cia s e m a m bie n t e s “vivo” e
Sist e m a s Est á t icos

An á lise de D a dos

Massa de Dados em Análise
Listagem de arquivos;
Partições;
Lista de Tipos de Arquivos;
Arquivos Apagados;
Validação de dados em espaço não alocado.

Lin h a de t e m po

N e st a fa se t e m os os se gu in t e s Tópicos.

• Timeline dos eventos;
• Correlação dos eventos;

• Causa e efeito dos eventos;

• Interpretação dos resultados.

Lin h a de t e m po

Após a va lida çã o de t oda s a s in for m a çõe s r e le va n t e s

contidas em uma mídia ou dispositivo de armazenamento,

é necessário criar um timeline com todos os fatos

relevantes durante a realização da perícia.
durante a realização da perícia.

Lin h a de t e m po
Exemplo de time Line de Eventos

Diária

Data Hora ID Evento

14/07/2009 10:23 # 01 Logo no sistema

15/07/2009 10:25 # 02 Acesso aos e-mails (conteúdo)

16/07/2009 10:27 # 03 Envio de e-mail (conteúdo)

17/07/2009 10:35 # 04 Acesso aos arquivos (conteúdo)

Re cu pe r a çã o de da dos
Ge t D a t a Ba ck

Fe r r a m e n t a s e e qu ipa m e n t os
For e n se Com pu t a cion a l

Fe r r a m e n t a s e e qu ipa m e n t os For e n se s

Solu çõe s e m soft w a r e gr a t u it a s e
com e r cia is sã o a pr e se n t a da s
H é lix

En Ca se

W in h e x

Apr e se n t a çã o da Est r u t u r a m ín im a do
La u do Té cn ico

Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico

Ca pa I n icia l
Obrigatoriamente deve conter as seguintes informações:

• Nome do exame realizado. Ex: Autoria e indentificação do emissor de correio

eletrônico.

• Nome do perito(s) que realizaram o procedimento

• Número do IP, Processo ou No. do Laudo

• Nome do solicitante do procedimento

• Data e local dos exames


I n t r odu çã o

O perito descreve de forma breve o que é a computação forense
e quais seus campos de atuação.


Br e ve h ist ór ico do ca so

O perito relata de forma breve os acontecimentos que motivaram o
exame pericial.


Pr oce dim e n t os Té cn icos

O perito “explica” os procedimentos básicos de duplicação e assinatura
de cópia forense, descrevendo a sua integridade e a lisura dos exames.


Te r m o de Com pr om isso le ga l

Termo redigido em formato próprio e solene, do compromisso de bem e
fielmente cumprir com o encargo aceito.



Muito importante, ela retrata a forma legal de como o perito
recebeu o material de exames e como o mesmo o devolveu a
Justiça ou a parte interessada.


Re spost a a os qu e sit os e la bor a dos

Serão elaboradas com clareza e fidelidade aos resultados
coletados.


D in â m ica s dos e ve n t os (time-line)

Descrever e registrar o momento em que cada ato do exame foi
colocado em prática, a expressão também e empregada para se
estudar o comportamento de um determinado evento(s) no
decorrer do tempo.


Re gist r os dos pr oce dim e n t os de a n á lise com
som a de ve r ifica çã o de .

Após os procedimentos, seus resultados devem ser
assinados com sistema de soma de verificação para
posterior gravação de CD .


Solicit a çõe s de diligê n cia s e ou in for m a çõe s.

Muito comuns nos casos de maior complexidade, em
sua maioria são necessárias quando há necessidade
de informações junto a provedores, empresas de
software, etc para o parecer final .


Pa r e ce r Fin a l

Conclusões com base nas repostas aos quesitos .

Té cn ica s e pr á t ica s de r e da çã o de
La u do Té cn ico

Técnicas e práticas de redação de laudo pericial

Partimos do pressuposto da certeza científica, vez que a criminalística faz

uso da metodologia de pesquisa e das ciências auxiliares, portanto, as

expressões do tipo: ACHAMOS QUE, EU ACHO, NÓS ACHAMOS, ACHO

QUE SIM, ACHO QUE NÃO, PODERIA, TALVEZ, SERIA TALVEZ, enfim,

todas aquelas que trazem DÚVIDA OU INCERTEZA NÃO PODEM ser

empregadas na redação técnica, o que seria uma grande “mão” as

estratégias de combate ao laudo produzido e acarreteria prejuízos ao

trabalho produzido e a reputação do profissional.


Ao contrário, o documento pericial deve ser dotado de CERTEZA E

OBJETIVIDADE, com a utilização de expressões do tipo:

CONSTATAMOS, VERIFICAMOS, CERTIFICAMOS, APONTAMOS,

DEMONSTRAMOS, PROVAMOS.


O perito judicial e Engenheiro da Computação Joaquim Moreira dos

Anzóis, em sua obra, “Pericial Judicial”, Editora Universitária de

Direito, ano 2006 escreve:


“Deve, portanto, o perito tomar determinadas cautelas nas respostas aos

quesitos, pois são essas respostas que vão orientar o juíz na prolação da

setença. Elas devem ser:”


CLARAS: Evitarpalavras de duplo sentido ou linguagem intrincada e

obscura que possa prejudicar a compreensão da matéria envolvida.


OBJETIVAS: Atenderexclusivamente aquilo que foi perguntado, sem

expor opiniões pessoais não alicerçadas em fatos ou sem o competente

fundamento técnico.


PERTINENTES: Ater-se à matéria envolvida na causa, sem tecer

considerações sobre fatos estranhos ao assunto, tais como ocorrências

passadas ou cogitações futuras não alicerçadas tecnicamente.


CONCISAS: Evitar a proxilidade, ou seja, a narração extensa de fatores

que podem ser resumidos em poucas palavras, sem perder o seu

conteúdo. A concisão dá mais força aos vocábulos cujo emprego

ciriterioso torna a leitura do laudo menos cansativa e evita dispersão do

raciocínio.

M OD ELOS
MODELO DE INTRODUÇÃO

A Computação Forense é ciência auxiliar da criminalística que tem como
objetivo esclarecer e investigar de forma científica o ambiente
informático quando este foi utilizado para a prática de crimes, tais
como: fraudes financeiras, utilização de sistema de correio eletrônico,
recuperação de arquivos e/ou partições destruídas pelo criminoso,
quebra de senhas em arquivos ou sistemas que contenham informações
vitais a investigação policial, enfim, ela se vale de todo um conjunto de
conhecimentos da informática para o esclarecimento de autoria e
materialidade dos mais diversos tipos de crime.

M OD ELOS
MODELO DE BREVE HISTÓRICO DO CASO

Foi registrado junto a Delegacia Especializada de Repressão de roubo a
Bancos, uma Notícia Crime promovida pela Administradora de Cartões
AYZ S/A, a qual dava conta de uma série de prejuízos financeiros
sofridos pela instituição devido a ação de fraudadores localizados na
Cidade de Faz de Conta, Estado de Felicidade. Conta à peça inicial,
que os fraudadores faziam uso de cadastros de clientes do sistema de
cartões de crédido do banco, os quais eram adquiridos de forma
indevida para manterem contato telefônico com estes e fazê-los crer
que se tratava de uma central de relacionamento do sistema VIU E
MOSTARDACARD, desta forma, iludiam os clientes, solicitavam
produtos e serviços em seus nomes e ainda apropriavam-se de senhas
de atendimento utilizadas para operações financeiras pelo telefone, tais
como, o pagamento de títulos bancários.

I P – I n qu é r it o Policia l


O inquérito policial é um procedimento policial administrativo,

anterior a ação penal (pré-processual) , mantido sob a guarda do

Escrivão de Polícia e presidido pelo Delegado de Polícia.


Tem por objetiva fornecer ao órgão da acusação os elementos

necessários para formar a suspeita do crime, a justa causa que

necessita aquele órgão para propor a ação penal, com os demais

elementos probatórios, ele orientará a acusação na colheita de

provas que se realizará durante a instrução processual.

M ode lo
Aos vinte e dois dias do mês janeiro ao ano de dois mil e nove (2009) nesta cidade de Faz de Conta,
Estado de mentinrinha, onde presente se achava na sede da Delegacia Especializada de Falsificações e
Defraudações da Polícia Civil do Estado de Mentirinha, o Bola Joao das Contas, Delegado de Polícia, o
qual nomeou esse signatário como PERITO ADHOC para este ato especificamente com o objetivo

de se produzir a prova técnica pericial de natureza definitiva . Tendo aceitado a presente

incumbência, passo a qualificar- me e prestar o devido compromisso legal. CLAUDEMIR DA COSTA
QUEIROZ, brasileiro, casado, analista de segurança da informação, perito extra-judicial, filho de Fulano de
Tal e Fulana de Tal, Portador da RG 123456 SSP-CE, expedida em 22 de abril de 1990, domiciliado a Rua da
Beleza, número 234, bloco A, Apto 890, bairro de Fantasia, Cidade de Faz de Conta, CEP 000000, local
aonde recebo intimações , podendo ainda ser localizado pelos telefones 55-876533 ou pelo correio eletrônico
claudemirqueiroz@gmail.com; Declaro sob as penas da lei penal que possuo curso de nível superior em
ciência da computação, Mestrando profissional em Computação Forense, que atuo como analista de
segurança da informação na Empresa XPTO12, atuo como professor universitário ministrando disciplinas em
segurança da informação, atuo ministrando curso de extensão em Perícia Forense Computacional com
ênfase em crimes eletrônicos.

Passo a prestar o devido compromisso legal de bem e fielmente cumprir com o encargo de perito
a mim ora delegado, onde me comprometo a proceder comforme a legislação penal e processual
penal vigente; Passo agora a examinar, fotografar, relatar e reduzir a termo escrito tudo o que a
mim foi perguntado pelo senhor Delegado em forma de quesitos, informando ainda outros fatos
que sejam relevantes ao feito.

M ode lo
de Pa r e ce r Fin a l e m I P

Verifica-se pelo conjunto de dados (informações) colhidos nos
computadores apreendidos que há farta quantidade de números
e cadastros de cartões de crédito, boletos bancários emitidos,
dados sobre compras e pagamentos por boletos bancários que
configuram a posse e utilização dos mesmos de forma indevida
pela pessoa do indiciado João das Contas, havendo robusta
materialidade (conjunto de informações) e autoria determinada
dos crimes investigados neste IP.

M ode lo
de Te r m o de En ce r r a m e n t o

Nada mais havendo a ser analisado ou descrito, passo a encerrar
o presente laudo técnico, que fora produzido em duas (02) vias
de igual teor e forma, contendo ambas 73 (setenta e três)
páginas, no que lavro o presente termo de encerramento que foi
por mim perito relator digitado e assinado, e pelo perito revisor
apenas assinado.

N om e ( s) e a ssin a t u r a ( s) do( s) pe r it o( s)

MECANISMOS DE PERSUASÃO

Ducrot
D u cr ot formula três leis do discurso


1 a . D a in for m a t ivida de –
a. Da informatividade

“o falante deve dizer ao ouvinte o que supõe que o ouvinte desconheça”.

No caso do perito falando ao juiz, deve-se ater às normas técnicas e ao

conhecimento da matéria técnica, sem ingressar no terreno jurídico, o

qual se pressupõe que o juiz conheça.


2 a . D a e x a u st ivida de –
a. Da exaustividade

“o locutor deve dar as informações mais fortes que tiver sobre o tema em

questão”. O perito deve fornecer ao juíz o maior número de informações

possível; ser conciso, e não ser lacônico. Ser lacônico é sonegar

informações.


3 a . O u so de lít ot e s –
a. uso lítotes

Consiste em desenvolver sobretudo o tratamento dos implícitos da

linguagem, pressupostos e subentendidos. Ao pressupor um conteúdo, o

enunciador determina sua aceitação como condição de manutenção do

diálogo. Por exemplo, pressupor as normas como de aceitação tácita para

que o discurso tenha prosseguimento. A lítote consiste em deixar

alguma coisa vaga para que o interlocutor interprete, assumindo

assim a responsabilidade pelo que foi dito, ou pelo que deixou de ser

dito, livrando o enunciador da responsabilidade do dizer.

D EM ON STRAÇÃO E ARGUM EN TAÇÃO


A demonstração liga-se à experiência e à dedução lógica e utiliza

provas analíticas. A argumentação emprega provas dialéticas e

diz respeito ao verossímil, ao plausível, ao provável, escapando

das certezas do cálculo lógico.


O perito não precisa esforçar-se muito para demonstrar que dois

mais dois são quatro, verdade tida como universal. A

im por t â n cia de su a a r gu m e n t a çã o a u m e n t a obvia m e n t e ,

n a m e dida e m qu e t e m qu e de m on st r a r pa r a o j u íz

a sse r çõe s qu e de pe n de m de opin iõe s. Nesse ponto, sua

opinião deve estar muito bem alicerçada em fatos e fundamentos

e a linguagem precisa ser apurada, sempre levando em conta as

características da linguagem do juiz.

O AUD I TÓRI O D O PERI TO É O JUI Z

O AUDITÓRIO DO PERITO É O JUIZ

Existem
Ex ist e m dois tipos de auditório:
auditório:

Auditório particular

Auditório universal


O
O Auditório Universal

É “constituído pela humanidade toda ou ao menos por todos os homens
adultos e normais”


O
O Auditório Particular

É formado apenas pelo locutor ao qual o locutor se dirige.


. . . Ca da cu lt u r a , ca da cla sse socia l, ca da in divídu o t e m

su a pr ópr ia con ce pçã o de a u dit ór io u n ive r sa l e pa r t icu la r

e , a pa r t ir de la , fa z va r ir a r a “a r gu m e n t a çã o” .


A retórica mais eficaz é aquela que emprega apenas provas

lógicas (demonstração). A argumentação apresentada ao auditório

particular procura persuadir o ouvinte a realizar uma ação imediata ou

futura, desenrolando-se essencialmente no plano prático.


A distinção de convencer e persuadir depende, portanto, do

auditório representado pela enunciação. São as relações perito/juíz

que vão definir o tipo de discurso a ser utilizado para persuasão do

magistrado.

O EM PREGO D A I LUSTRAÇÃO

O perito forense pode u sa r m e t á for a s para enfatizar o que

está dizendo. Por exemplo: “Pescar em águas turvas” e “buscar

a prova onde não se pode enxergá-la, é procurar inventar o

que não existe”.

O EM PREGO D A I LUSTRAÇÃO

Pode ser usada também a m e t on ím ia , que é a designação de

um objeto por palavra designativa d’outro objeto que tem com

o primeiro uma relação. Exemplo: causa e efeito (trabalho, por

hora); continente e conteúdo (copo, por bebida)

TRAÇOS REVELAD ORES D E I N TEN ÇÃO

Traços Reveladores de Intenção

O perito, quando elabora o arrazoado de seu laudo, na
quando elabora o arrazoado de seu na
qualidade de sujeito da enunciação, está condicionado às normas
de perícia e aos conhecimentos específicos que adquiriu para
exercer a função de perito.

O juíz, ao interpretar o parecer técnico do assistente , tem
sempre presente característica do assistente técnico e sendo o
seu receptor interpretante procura escoimar do parecer técnico
tudo quanto reduza tendenciosidade ou ideologia própria do
interesse da parte que o contratou.

PROD UÇÃO D O D I SCURSO ( la u do)


EXÓRD I O

apresentação do tema ou da tese a ser desenvolvida. Deve ser
leve, incisivo, provocar uma mudança de comportamento no
destinatário, de forma a tirá-lo de uma posição ou passividade e
predispô-lo a ouvir ou ler o discurso.


N ARRAÇÃO

Narrativa dos fatos que vão motivar o aparecimento da tese
apresentada. Eles devem ser apresentados de forma a justificar
uma ação que será exercida no sentido de dar resposta a esses
fatos que clamam por uma solução ou por uma conclusão.


CON FI RM AÇÃO

Exposição da tese para solucionar os problemas apresentados,
ou concluir baseado nela.


PERORAÇÃO

Encerramento do discurso em final das conclusões
apresentadas, colocando um final mediante uma frase de fecho
conclamando o destinatário a aceitar a tese exposta.


LEM BRES - SE
BRES-

No ato de nomeação do perito, o juíz surge como destinador
manipulador do experto, solicitando-lhe um obj e t o de va lor
que é a conclusão do laudo: a pr ova pe r icia l.

Para atingir esse obj e t o de va lor , o perito tem que primeiro
estar capacitado, qualificado para realizar esse tipo de trabalho.

O PERI TO É O GUARD I ÃO D A
VERD AD E !!!

“VERI TAS ASSEVERARE”

Bibliografia

FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada a Informática: ambiente
Microsoft. 1. ed. Rio de Janeiro: Brasport, 2006.

NG, Reynaldo. Forense Computacional Corporativa. 1. ed. Rio de Janeiro: Brasport, 2007.

PEIXOTO, Mário César Pintaudi. Criando um CSIRT: Computer Security Incident
Response Team e entendendo seus desafios. 1. ed. Rio de Janeiro: Brasport, 2008.

FIGUEIREDO, Jorge Ramos. Computação forense: apostila. Fortaleza: Faculdade Evolução,
2008.

RAMOS, Fábio F. Forense Computacional: apostila. Fortaleza: Axur Academy, 2006.

MANDIA, Kevin; PROSISE, Chris; PEPE, Matt. Incident Response & Computer Forensics.
New York: McGraw-Hill/Osborne, 2003.

DAN, Farmer; VENEMA, Wietse. Perícia Forense Computacional Teoria e Prática. São
Paulo: Pearson , 2005.

Bibliografia

EMILIO, Tissato Nakamura. Segurança de Redes em Ambientes Cooperativos. São Paulo:
Novatec, 2007.

PINHEIRO, Patrícia Peck. Direito Digital. 3. ed. São Paulo: Saraiva, 2009.

JOSÉ, Fiker. Linguagem do Laudo Pericial: técnicas de comunicação e persuasão. 1. ed. São
Paulo: Leud, 2005.

ROVINSK, Sonia Liane Reichert. Fundamentos da Perícia Psicológica Forense. 2. ed. São
Paulo: Vetor, 2007.

LAU, Marcelo. Treinamento em Forense Computacional. São Paulo, 2008.

This document was created with Win2PDF available at http://www.win2pdf.com.
The unregistered version of Win2PDF is for evaluation or non-commercial use only.
This page will not be added after purchasing Win2PDF.

Curso de Perícia Forense Computacional

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Curso de Perícia Forense Computacional

Similar a Curso de Perícia Forense Computacional (20)

Curso de Perícia Forense Computacional