O curso abordará conceitos e procedimentos da perícia forense computacional, incluindo obtenção e preservação de evidências digitais, análise forense, elaboração de laudos periciais e estudos de casos. O curso ocorrerá de segunda a sexta-feira das 18h às 22h e terá uma frequência mínima de 75% para aprovação no exame final no último dia do curso.
AULA 04 - POR TRÁS DA NECROPSIA - ENTENDENDO SUAS MÚLTIPLAS FACES.pdf
Curso de Perícia Forense Computacional
1. UNIFOR – Julho de 2009
Instrutor.: Claudemir Queiroz
Curso de Perícia Forense Computacional
2. Com o se r á n osso cu r so?
Aulas teóricas
importante para o embasamento na criação de Periciais
importante para o embasamento na criação de Laudos Laudos Periciais
Aulas práticas
utilizando de ferramentas forense computacional
resolvendo casos fictícios
Aulas de segunda a sexta
18:00 – 22:00hs
Fr e qu ê n cia m ín im a pa r a a pr ova çã o n o cu r so 7 5 %
Prova no último dia (dupla)
Prova no último dia (dupla)
provavelmente dia 25(sábado) de 8 às 12hs
Aprovação na prova
receberá o certificado de Perito Forense Computacional
3. Instrutor (quem sou?)
# Bacharel em Ciência da Computação pela Faculdade Lourenço Filho;
# Security Officer do Grupo Café Santa Clara;
# Perito Forense Computacional;
# Professor Universitário;
# Mestrando pelo MPCOMP/UECE – linha de pesquisa em Computação Forense;
# Presidente da Associação dos Peritos em Computação Forense do Estado do
Ceará (APCF-CE).
4. Qu e m sã o os fu t u r os Pe r it os For e n se
Com pu t a cion a l?
O que fazem na vida profissional
8. I n t r odu çã o e Con ce it os
Antecedentes da forense computacional
O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
O qu e é for e n se e for e n se com pu t a cion a l e on de se a plica m
O que é ciência forense
O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is
Requisitos de uma evidência
Requisitos de uma evidência
O qu e é in ve st iga çã o for e n se
O que prova pericial
O que éé prova pericial
O qu e é in ve st iga çã o com pu t a cion a l
O que é cadeia de custódia
Fonte
Fon t e de e vidê n cia s e pr ova s ( M e ios / I m a ge m / Evidê n cia
evidências provas Meios magem Evidência
Volátil)
O que é e como se comportar em uma cena de um crime
O qu e é e com o se com por t a r e m u m a ce n a de u m cr im e
9. Pr oce dim e n t os I n ve st iga t ivos e fon t e da s pr ova s
Como se preservar as evidências e suas respectivas provas
Or de m de pr e se r va çã o de e vidê n cia s
Erros em procedimentos investigativos
Requisitos investigativos
Princípios e processos forenses
Forense em sistemas operacionais e sistemas de arquivos
Forense em resposta a incidentes
10. M e t odologia For e n se
Investigação em pessoas e testemunhos
Investigação em pessoas e testemunhos
Investigação no local do crime
Investigação das evidências e provas
Enfoques da investigação
da investigação
Como se concluir uma investigação
Cuidados na recepção da evidência
Integridade de evidências e provas
Geração de HASH
Geração de imagens
imagens
Coleta de evidências em ambientes “vivos” e sistemas estáticos
Procedimentos para Cadeia de custódia
Análise de dados
dados
Palavras chave
Linha de tempo
Recuperação de dados
Eva sã o for e n se ( cr ipt ogr a fia , de st r u içã o física e e st e ga n ogr a fia )
11. Fe r r a m e n t a s e e qu ipa m e n t os for e n se s
Solu çõe s e m soft w a r e e h a r dw a r e gr a t u it a s e com e r cia is sã o
apresentadas
em sala
e m sa la de a u la , in clu in do H e lix , fe r r a m e n t a s Sysin t e r n a ls,
aula, incluindo Helix, ferramentas Sysinternals,
Winhex entre outros.
Re fe r ê n cia s e docu m e n t os dispon íve is de for e n se com pu t a cion a l
que apóiam o processo investigativo.
12. D e se n volvim e n t o da An á lise For e n se
É a pr e se n t a do u m ca so, on de e vidê n cia s sã o ofe r e cida s pa r a
execução de uma analise forense com as ferramentas
disponíveis em sala de aula.
13. Ela bor a çã o do la u do pe r icia l
Importância do laudo pericial
Importância do laudo pericial
Cuidados na preparação do laudo
Itens de um laudo pericial
de um laudo pericial
14. Est u do de Ca sos – D e sve n da n do Ca sos Fict ícios
Acesso indevido.
Acesso indevido.
Ameaça por e- mail.
Ace sso a sit e s por n ogr á ficos( pe dofilia ) .
Acesso a sites pornográficos( pedofilia)
Roubo de informações privilegiadas com dispositivos
removíveis.
16. An t e ce de n t e s da for e n se com pu t a cion a l
Ciência Forense: dividida em diversas disciplinas, que atua em
conjunto com o investigador na busca pela verdade.
American Academy of Forensics Sciences – http:www.aafs.org/
Pathology Biology
Examination of the Dead Geology
Living Cases Psychiatry
Toxicology Questioned Documents
Anthropology Criminalistics
Odontology Jurisprudence
Engeneering Computer Forensics
17. An t e ce de n t e s da for e n se com pu t a cion a l
• Escreveu The Washing Away Of
1248 Wrongs, talvez o primeiro livro sobre
forensics da história.
Hsi Duan Yu
• Trabalha na identificação de causas
de morte, diferenciando assassinato
Século 18 de suicídio.
Antonie Louis
1813 • Considerado o pai da Toxicologia
Forense, publicou o primeiro estudo
sobre como detectar venenos.
Mathieu Orfila
18. An t e ce de n t e s da for e n se com pu t a cion a l
• Primeiro estudo sobre impressão
1822 Digital.
Francis Galton
• Pressa por envenenar seu marido
com arsênico. Este foi o primeiro
1840 caso do uso de técnicas forenses no
tribunal
Madame Lafarge
1850 • A polícia americana e francesa
iniciaram a utilização de “mug
shots”.
19. An t e ce de n t e s da for e n se com pu t a cion a l
• Desenvolveu os princípios de
1858 análises de documentos.
Albert Osborne
• Primeiras histórias do Sherlock
1887 Holmes
Arthur Conan Doyle
1887 • Descoberta dos grupos sanguíneos
(A, B AB e O).
Leone Lattes
20. An t e ce de n t e s da for e n se com pu t a cion a l
• Desenvolveu os princípios de
1891 análises de documentos.
Calvin Goddard
• Publicou “Fingerprints”, fornecendo
evidências estatísticas para
1892 reconhecimento de impressões
digitais .
Francis Galton
• Fascinado pelo “Problem Princípio
Início do Século 20 de Locard .
Edmund Locard
21. An t e ce de n t e s da for e n se com pu t a cion a l
1932
• .
FBI criou o primeiro
laboratório de serviços
forense
• Iniciou a utilização de bioquímica
1934 na resolução de crimes .
Paul Leland Kirk
• Pioneiro no uso de lasers para
1970 localizar impressões digitais .
Roland Menzel
22. An t e ce de n t e s da for e n se com pu t a cion a l
• Descobriu que cada pessoa
possui um DNA único. Sua
1985 descoberta revolucionou a
medicina forense.
Alec Jeffreys
23. An t e ce de n t e s da for e n se com pu t a cion a l
24. An t e ce de n t e s da for e n se com pu t a cion a l
Dias Atuais
25. O qu e é e o qu e fa z u m pe r it o e pe r it o
for e n se in for m á t ico
26. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
“Ciê n cia for e n se é destinada a preservar,
adquirir, obter e apresentar dados que foram
processados eletronicamente e armazenados em
dispositivo de computador”
D e pa r t a m e n t o de Ju st iça dos Est a dos Un idos da Am é r ica -
FBI
27. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
Obt e n çã o e Cole t a de D a dos;
I de n t ifica çã o;
Pr e se r va çã o;
An á lise ; e
Apr e se n t a çã o.
28. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
Obt e n çã o e Cole t a de D a dos
Os procedimentos adotados na coleta de dados devem ser
formais, seguindo toda uma metodologia e padrões de como se
obter provas para apresentação judicial, como um checkList.
29. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
I de n t ifica çã o
Dentre os vários fatores envolvidos no caso, é
extremamente necessário saber separar os fatos dos fatores,
que possam vir a influenciar ou não um crime, para estabelecer
uma correlação na qual se faz um levantamento das ligações
relevantes como datas, nomes de pessoas, autarquias, etc,
dentre as quais foi estabelecida a comunicação eletrônica.
30. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
Pr e se r va çã o
Um Perito Forense Computacional experiente, de acordo
com Kerr (2001), terá de ter certeza de que uma evidência
extraída deverá ser adequadamente manuseada e protegida para
se assegurar de que nenhuma evidência seja danificada,
destruída ou mesmo comprometida pelos maus procedimentos
usados na investigação e que nenhum vírus ou código malicioso
seja introduzido em um computador durante a análise forense.
31. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
An á lise
Na concepção de Kerr (2001), a análise será a pesquisa
propriamente dita, onde o investigador se detém
especificamente nos elementos relevantes ao caso em questão
pois todos os filtros de camadas de informação anteriores já
foram transpostos.
Novamente, deve-se sempre ser um profissional atento e
cuidadoso em termos da obtenção da chamada "prova legítima",
a qual consiste numa demonstração implacável e inquestionável
dos rastros e elementos da comunicação entre as partes
envolvidas e seu teor, além das datas e trilhas dos segmentos de
disco utilizados.
32. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
Apr e se n t a çã o
De acordo com Freitas (2006) esta fase é tecnicamente
chamada de "substanciação da evidência", pois nela consiste o
enquadramento das evidências dentro do formato jurídico, sendo
inseridas, pelo juiz ou pelos advogados, na esfera civil ou
criminal ou mesmo em ambas.
Desta forma, quando se tem a certeza material das
evidências, atua se em conjunto com uma das partes acima
descritas para a apresentação das mesmas.
33. O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam
A Ciência da Perícia Forense Computacional, pode ser aplicada
nas esferas particulares e órgãos governamentais.
34. O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam
Cla ssifica çã o dos Pe r it os For e n se Com pu t a cion a l
Perito Judicial
Perito Criminal (cívil ou Federal)
Perito Extrajudicial
Assistente Técnico.
35. O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam
O Perito Judicial
Nomeado pelo juíz para cada processo, deve possuir formação e habilidades
comprovadas. Não é funcionário público.
36. O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam
O Perito Criminal (Cívil ou Federal)
São funcionários públicos que trabalham na polícia, mas não são policiais.
37. O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam
Perito Extrajudicial;
Responsável pela elaboração de laudos técnicos, normalmente utilizados em
processos para o que chamam de produção antecipada de provas.
38. O qu e é for e n se e for e n se com pu t a cion a l e on de se
aplicam
Assistente Técnico
É nomeado pelas partes no processos judiciais para que acompanhem o trabalho
do perito judicial.
39. O qu e é e com o sã o a s e vidê n cia s e
e vidê n cia s digit a is
40. O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is
Evidê n cia
Do latim evidenti
Certeza manifesta
Qualidade ou condição do que é evidente
Provas
Demonstrações
41. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
42. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
“Melhor Evidência”
Evidência documentada, geralmente contratos assinados (original),
pode ser um email assinado digitalmente.
digitalmente.
43. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
“Evidência Secundária”
Testemunho.
Testemunho. Cópia de um documento, arquivo de computador.
computador.
44. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
“Evidência Conclusiva”
Evidência irrefutável que não pode ser negada. Não requer
.
corroboração. Uma filmagem caracteriza este tipo de evidência.
45. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
“Evidência Circunstancial”
Pode ser utilizada para deduzir ou assumir a existência de outro
fato. Ex: usuário estava logado no momento do incidente.
46. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
Opinião de um Expert
O que chamamos de “visão de um expert”. Não opera opiniões,
Mas fatos – relatórios ou laudos fornecidos por especialistas.
47. O qu e é e com o sã o a s e vidê n cia s digit a is
Tipos de Evidê n cia
Vestígios (logs)
Evidências de segunda mão. Nesta categoria são enquadradas os
registros de computador.
Considerar Sempre
Suficiência
Confiabiliade
Relevância
49. At r ibu t os da Evidê n cia
Pr im e ir o
Se r Con fiá ve l
l.
Características que garantem a confiabilidade da
evidência coletada.
50. At r ibu t os da Evidê n cia
Se gu n do
Se r Su ficie n t e .
Capaz de explicar o evento como um todo.
51. At r ibu t os da Evidê n cia
Te r ce ir o
Se r Re le va n t e .
Possuir relação direta com o caso.
52. Sobr e a s Evidê n cia
O qu e FAZER
Anotar e fotografar o setup e as conexões dos equipamentos
Permitir a finalização da impressão
Gravar o que estiver na tela (print- Ata Notarial)
Gravar o número do modem se o telefone estiver conectado
Empacotar e selar as evidências.
54. Sobr e a s Evidê n cia
O qu e n ã o FAZER
Guardar as mídias próximo a telefone celular ou fontes
geradoras de energia
Iniciar a investigação imediatamente
Fechar programa e desligar o equipamento
Deixar suspeitos alterar configurações nas máquinas
Mover o equipamento ligado.
55. Sobr e a s Evidê n cia
Algu n s t ipos de Evidê n cia s
Arquivos digitais
Cookies
Fotografias
Browser Tattos
Email
56. Sobr e a s Evidê n cia
Algu n s t ipos de Evidê n cia s
Logs dos servidores
Histórico do Browser
Cache do Browser
Bookmarker
Logs de IRC e IM
57. D ica s Sobr e a s Evidê n cia
D ica s r e la cion a da s sobr e Evidê n cia s
Quanto maior o nível de identificação, maior será a dificuldade em convencer o juíz
Existem diversas “verdades”, tenha mente aberta
Não menospreze os detalhes (o perito precisa ser perspicaz)
Crie uma visão do todo (filme CSI – os peritos por várias vezes refazem e estudam a
cena do crime – simulam. Ex: caso menina Isabela Nardoni)
Use analogia para fazer a testemunha entender sobre o que você está falando
58. O qu e é Pr ova Pe r icia l
I n ve st iga çã o Com pu t a cion a l
59. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
"Perícia é o exame feito em pessoas ou coisas, por profissional portador de
conhecimentos técnicos e com a finalidade de obter informações capazes de
esclarecer dúvidas quanto a fatos. Daí chamar-se perícia, em alusão à
qualificação e aptidão do sujeito a quem tais exames são confiados. Tal é
uma prova real, porque incide sobre fontes pasivas, as quais figuram como
mero objeto de exame sem participar das atividades de extração de
informes"
60. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Perícia informal. É prevista no artigo 421, § 2º, do CPC: "Quando a natureza
do fato o permitir, a perícia poderá consistir apenas na inquirição pelo juiz do
perito e dos assistentes, por ocasião da audiência de instrução e julgamento
a respeito das coisas que houverem informalmente examinado ou avaliado".
A Lei dos Juizados Especiais (Lei 9.099/95) dispõe: "Art. 35 - Quando a
prova do fato exigir, o Juiz poderá inquirir técnicos de sua confiança,
permitida às partes a apresentação de parecer técnico. Parágrafo único - No
curso da audiência, poderá o Juiz, de ofício ou a requerimento das partes,
realizar inspeção em pessoas ou coisas, ou determinar que o faça pessoa de
sua confiança, que lhe relatará informalmente o verificado".
61. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
I n cide n t e de e x ibiçã o.
O juiz pode determinar a exibição de documento
ou coisa que se ache em poder da parte ou de parte ou
de terceiro (CPC, arts. 355 e ss), para submissão a
exame pericial.
62. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Qu e sit os su ple m e n t a r e s.
São os oferecidos antes da entrega do laudo.
Dispõe o artigo 425 do CPC: "Poderão as partes
apresentar, durante a diligência, quesitos
suplementares. Da juntada dos quesitos aos autos dará
o escrivão ciência à parte contrária".
63. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Qu e sit os com ple m e n t a r e s.
São os oferecidos após a entrega do laudo. Visam
à prestação de esclarecimentos sobre o laudo
apresentado. O artigo 435 do CPC dispõe: "A parte,
que desejar esclarecimento do perito e do assistente
técnico, requererá ao juiz que mande intimá-lo a
comparecer à audiência, formulando desde logo as
perguntas, sob forma de quesitos. Parágrafo único - O
perito e o assistente técnico só estarão obrigados a
prestar os esclarecimentos a que se refere este artigo,
quando intimados 5 (cinco) dias antes da audiência.
64. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
For m u la çã o dos Qu e sit os .
os.
Exemplo de quesito mal formulado:
1. Que o senhor perito informe tudo o que for possível sobre o
computador analisado.
Exemplo de quesito bem formulado
2. Que o senhor perito informe se o computador analisado armazena
dados relacionados à pornografia infantil.
3. Que o senhor perito informe se o computador analisado armazena fotos
relacionadas à pornografia infantil.
65. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Pr in cípios da An á lise For e n se Com pu t a cion a l
66. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Pr in cípio da obj e t ivida de
O perito deve esclarecer a finalidade dos exames em seu laudo,
esclarecendo que a conduta que está em estudo e qual o tipo de
informação ele deve procurar.
“O ambiente informático é muito diverso, por isso o perito deve restringir
o escopo de forma objetiva”.
André Caricati – Perito Criminal Federal
67. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Pr in cípio da Espe cificida de
Depois de eleito um tema de trabalho, este tema será o norte do
relatório pericial, por isso, o perito não deve tomar ou direcionar ações
técnicas que não estejam relacionadas ao tema eleito, ou seja, suas ações
e buscas são específicas para que se chegue ao menor conjunto de
dados do caso.
68. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Pr in cípio da Sín t e se
O perito deve ter a capacidade de consolidar e demonstrar todo o
conjunto de informações coletadas por ele e sua equipe durante o
procedimento pericial.
“O objetivo pericial não é falar muito, mas sim, falar o necessário e se
fazer entender”.
69. O qu e é pr ova pe r icia l
I n ve st iga çã o Com pu t a cion a l
Pr in cípio da Ce le r ida de
O perito deve priorizar todos os procedimentos técnicos que
tenham como função garantir o estado de coisas.
Neste caso, o perito lança mão dos conhecimentos da “ordem de
volatilidade”, ou seja, ele deve analisar sempre o material mais volátil
para o material menos volátil.
Principaisobjetivos:
Principais objetivos:
1. Garantir a preservação do maior número de dados possível.
2. Quanto maior a abrangência da coleta, maior a qualidade da pesquisa e análise dos dados.
71. Ca de ia de Cu st ódia
Prova onde as evidências estavam em
um determinado momento e quem era o
responsável por ela durante o curso da perícia.
72. Ca de ia de Cu st ódia
Pe r m it e r e spon de r a s se gu in t e s pe r gu n t a s
Quem coletou:
Como e quando:
Quem tem a posse da evidência?
Como esta evidência foi armazenada e protegida?
Quem buscou a evidência (manipulou) durante o tempo em
que ficou armazenada? Por que?
75. Fon t e s de Evidê n cia s e Pr ova s
As evidências e Provas Digitais são extraídos
de :
Processos
Pessoas
Computadores (aparelhos eletroeletrônicos)
Mídias digitais (cd, dvds, etc)
76. Com o se com por t a r e m u m a ce n a de u m
cr im e
77. Com o se com por t a r e m u m a ce n a de u m
cr im e
N ã o e x ist e Cr im e Pe r fe it o . . .
Princípio da Troca de Locard
Edmund Locard’s Principle of Exchange: quando dois objetos
entram em contato, sempre haverá transferência de material de
um objeto para o outro.
78. Se gu r a n ça da Ce n a do Cr im e
Ce n a do Cr im e
Local onde o crime aconteceu, ponto de início da investigação.
Onde se concentram o maior número de evidências físicas.
1. Cena primária: estabelecimento assaltado
2. Cena secundária: carro de transporte da vítima
3. Cena terciária: local onde a pessoa foi assassinada
4. Cena quartenária: local onde o corpo foi deixado
79. Se gu r a n ça da Ce n a do Cr im e
Pr im e ir o pa sso
Promover a segurança, proteção e preservação das evidências
Normalmente o primeiro contato é feito pelo Incident Response Team.
80. Se gu r a n ça da Ce n a do Cr im e
A ca m in h o da ce n a do cr im e , o qu e le va r :
o Evidence Bags
o Etiquetas
o Lacres
o Luvas de algodão
o HDs para duplicação
o Câmera digital
81. Se gu r a n ça da Ce n a do Cr im e
Pr e pa r a n do o Am bie n t e :
o Aproximação com uso de testemunha
o Definir um perímetro de segurança adequado
o Fotografar o ambiente e equipamento
o Verificar se o equipamento analisado é o correto
83. Pr oce dim e n t os I n ve st iga t ivos
Investigação
Em alguns casos não é conveniente envolver terceiros ou agentes legais
Quando os agentes legais devem ser notificados?
Notificação obrigatória:
1. Quando envolver a segurança das pessoas
2. Quando envolver a segurança nacional
3. Quando envolver pornografia infantil
84. Pr oce dim e n t os I n ve st iga t ivos
Investigação
Passos para a segurança da cena
Formulação do Plano
Abordagem frente a cena do crime
Documentar
85. Pr oce dim e n t os I n ve st iga t ivos
For m u la çã o do Pla n o
Antever o que você vai encontrar na cena do crime
Identificar os tipos de computadores e mídias envolvidos
Tipo de ambiente – escritório ou doméstico
Quem estará presente, suspeitos ou vítimas?
Que tipo de material para coleta de evidências será
necessário?
Definição de papeis e responsabilidades
86. Pr oce dim e n t os I n ve st iga t ivos
Abor da ge m
Preparar Mandado
Considerar a segurança das pessoas envolvidas
Tomar nota de tudo (detalhadamente)
Remover os suspeitos da área
Considerar possibilidade de remover outras pessoas da área
87. Pr oce dim e n t os I n ve st iga t ivos
D ocu m e n t a çã o
Iniciar narração dos eventos (gravação)
Fotografar a cena
Fotografar todos os equipamentos apreendidos
Fotografar as telas dos monitores
Preservar o layout de computadores, cabos, etiquetas, etc
Documentar condições do ambiente (temperatura e etc)
88. Pr oce dim e n t os I n ve st iga t ivos
Pr in cipa is Pa ssos
Gerar hash do Hard Disk
Criar imagem do Hard Disk
Auditoria em arquivos críticos
Busca por arquivos modificados no momento do incidente
Análise de histórico de acesso à internet
Análise em arquivos removidos
Análise de logs (firewall, sistemas críticos, outros ativos . . .)
Mapear portas abertas (port scan)
89. M e t odologia For e n se
Levantamento de Informações
Coleta e tratamento de evidências
Análise de resultados (Processo de Análise)
90. M e t odologia For e n se
I n ve st iga çã o e m pe ssoa s e t e st e m u n h os – loca l
do cr im e !!!
Alguém Viu !
Alguém sabe !
Por que estão protegendo?
Como o Perito Forense Computacional deve agir nesse momento?
91. M e t odologia For e n se
At e n çã o se n h or Pe r it o !!!
Cada processo de análise forense possui particularidades devido a
eventos e tecnologias envolvidas, o que nos leva a ter que reavaliar e
definir o melhor método/princípio de trabalho em cada um deles. As
informações apresentadas visam demonstrar os principais pontos que
uma análise forense computacional deve conter, para que o processo seja
válido e possa ser implementado denture de uma organização.
92. M e t odologia For e n se
En foqu e s da in ve st iga çã o
O qu e o você qu e r “En con t r a r ?”
Lembre-se:
Perícia Forense Computacional é uma ciência técnica científica, não mãe Diná !!!
93. Com o se con clu ir u m a in ve st iga çã o
An á lise de Evidê n cia s
As evidências coletadas devem ser analisadas e correlacionadas com as
hipóteses levantadas.
Geração de Relatório
Agrupamento de todos os aspectos avaliados e conclusão.
94. Com o se con clu ir u m a in ve st iga çã o
Con t e ú do do Re la t ór io
Sumário Executivo
Sumário Executivo
Objetivos
Descrição do Evento
Metodologia utilizada
Breve descrição das evidências e hipóteses
Não Esqueça:
Apresentação detalhada das hipóteses.
Apresentação das evidências.
95. Com o se con clu ir u m a in ve st iga çã o
Con t e ú do do Re la t ór io
Correlação entre evidências e hipóteses.
Parecer Final – Conclusão
Anexos
Entrevistas realizadas
Entrevistas realizadas
Ativos Analisados
96. Com o se con clu ir u m a in ve st iga çã o
Fe ch a m e n t o
Início da Investigação
Início da Investigação
Requerimentos
Contato Inicial
Desenvolvimento
Identificação Incidente
Identificação dodo Incidente
Salvaguarda do Ambiente
Coleta de Evidências
Análises
Encerramento
Encerramento
Laudo Pericial
97. Com o se con clu ir u m a in ve st iga çã o
Con t e ú do do Re la t ór io
Correlação entre evidências e hipóteses.
Parecer Final – Conclusão
Anexos
Entrevistas realizadas
Entrevistas realizadas
Ativos Analisados
98. I n t e gr ida de de e vidê n cia s e pr ova s
Ge r a n do H a sh (garantir a integridade dos dados)
Como funciona a geração de
Como funciona a geração de hash? hash?
C:md5.exe c:evidencia.zip = hash do arquivo evidencia.zip
2496336ae2f2493ab2e26df901fae931
99. Ge r a n do im a ge n s
Cole t a de Evidê n cia s e m a m bie n t e s “vivo” e
Sist e m a s Est á t icos
100. An á lise de D a dos
Massa de Dados em Análise
Listagem de arquivos;
Partições;
Lista de Tipos de Arquivos;
Arquivos Apagados;
Validação de dados em espaço não alocado.
101. Lin h a de t e m po
N e st a fa se t e m os os se gu in t e s Tópicos.
• Timeline dos eventos;
• Correlação dos eventos;
• Causa e efeito dos eventos;
• Interpretação dos resultados.
102. Lin h a de t e m po
Após a va lida çã o de t oda s a s in for m a çõe s r e le va n t e s
contidas em uma mídia ou dispositivo de armazenamento,
é necessário criar um timeline com todos os fatos
relevantes durante a realização da perícia.
durante a realização da perícia.
103. Lin h a de t e m po
Exemplo de time Line de Eventos
Diária
Data Hora ID Evento
14/07/2009 10:23 # 01 Logo no sistema
15/07/2009 10:25 # 02 Acesso aos e-mails (conteúdo)
16/07/2009 10:27 # 03 Envio de e-mail (conteúdo)
17/07/2009 10:35 # 04 Acesso aos arquivos (conteúdo)
104. Re cu pe r a çã o de da dos
Ge t D a t a Ba ck
105. Fe r r a m e n t a s e e qu ipa m e n t os
For e n se Com pu t a cion a l
106. Fe r r a m e n t a s e e qu ipa m e n t os For e n se s
107. Solu çõe s e m soft w a r e gr a t u it a s e
com e r cia is sã o a pr e se n t a da s
H é lix
108. Solu çõe s e m soft w a r e gr a t u it a s e
com e r cia is sã o a pr e se n t a da s
En Ca se
109. Solu çõe s e m soft w a r e gr a t u it a s e
com e r cia is sã o a pr e se n t a da s
W in h e x
110.
111. Apr e se n t a çã o da Est r u t u r a m ín im a do
La u do Té cn ico
112. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Ca pa I n icia l
Obrigatoriamente deve conter as seguintes informações:
• Nome do exame realizado. Ex: Autoria e indentificação do emissor de correio
eletrônico.
• Nome do perito(s) que realizaram o procedimento
• Número do IP, Processo ou No. do Laudo
• Nome do solicitante do procedimento
• Data e local dos exames
113. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
I n t r odu çã o
O perito descreve de forma breve o que é a computação forense
e quais seus campos de atuação.
114. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Br e ve h ist ór ico do ca so
O perito relata de forma breve os acontecimentos que motivaram o
exame pericial.
115. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Pr oce dim e n t os Té cn icos
O perito “explica” os procedimentos básicos de duplicação e assinatura
de cópia forense, descrevendo a sua integridade e a lisura dos exames.
116. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Te r m o de Com pr om isso le ga l
Termo redigido em formato próprio e solene, do compromisso de bem e
fielmente cumprir com o encargo aceito.
117. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Ca de ia de Cu st ódia
Muito importante, ela retrata a forma legal de como o perito
recebeu o material de exames e como o mesmo o devolveu a
Justiça ou a parte interessada.
118. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Re spost a a os qu e sit os e la bor a dos
Serão elaboradas com clareza e fidelidade aos resultados
coletados.
119. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
D in â m ica s dos e ve n t os (time-line)
Descrever e registrar o momento em que cada ato do exame foi
colocado em prática, a expressão também e empregada para se
estudar o comportamento de um determinado evento(s) no
decorrer do tempo.
120. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Re gist r os dos pr oce dim e n t os de a n á lise com
som a de ve r ifica çã o de .
Após os procedimentos, seus resultados devem ser
assinados com sistema de soma de verificação para
posterior gravação de CD .
121. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Solicit a çõe s de diligê n cia s e ou in for m a çõe s.
Muito comuns nos casos de maior complexidade, em
sua maioria são necessárias quando há necessidade
de informações junto a provedores, empresas de
software, etc para o parecer final .
122. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
Pa r e ce r Fin a l
Conclusões com base nas repostas aos quesitos .
123. Té cn ica s e pr á t ica s de r e da çã o de
La u do Té cn ico
124. Técnicas e práticas de redação de laudo pericial
Partimos do pressuposto da certeza científica, vez que a criminalística faz
uso da metodologia de pesquisa e das ciências auxiliares, portanto, as
expressões do tipo: ACHAMOS QUE, EU ACHO, NÓS ACHAMOS, ACHO
QUE SIM, ACHO QUE NÃO, PODERIA, TALVEZ, SERIA TALVEZ, enfim,
todas aquelas que trazem DÚVIDA OU INCERTEZA NÃO PODEM ser
empregadas na redação técnica, o que seria uma grande “mão” as
estratégias de combate ao laudo produzido e acarreteria prejuízos ao
trabalho produzido e a reputação do profissional.
125. Técnicas e práticas de redação de laudo pericial
Ao contrário, o documento pericial deve ser dotado de CERTEZA E
OBJETIVIDADE, com a utilização de expressões do tipo:
CONSTATAMOS, VERIFICAMOS, CERTIFICAMOS, APONTAMOS,
DEMONSTRAMOS, PROVAMOS.
126. Técnicas e práticas de redação de laudo pericial
O perito judicial e Engenheiro da Computação Joaquim Moreira dos
Anzóis, em sua obra, “Pericial Judicial”, Editora Universitária de
Direito, ano 2006 escreve:
127. Técnicas e práticas de redação de laudo pericial
“Deve, portanto, o perito tomar determinadas cautelas nas respostas aos
quesitos, pois são essas respostas que vão orientar o juíz na prolação da
setença. Elas devem ser:”
128. Técnicas e práticas de redação de laudo pericial
CLARAS: Evitarpalavras de duplo sentido ou linguagem intrincada e
obscura que possa prejudicar a compreensão da matéria envolvida.
129. Técnicas e práticas de redação de laudo pericial
OBJETIVAS: Atenderexclusivamente aquilo que foi perguntado, sem
expor opiniões pessoais não alicerçadas em fatos ou sem o competente
fundamento técnico.
130. Técnicas e práticas de redação de laudo pericial
PERTINENTES: Ater-se à matéria envolvida na causa, sem tecer
considerações sobre fatos estranhos ao assunto, tais como ocorrências
passadas ou cogitações futuras não alicerçadas tecnicamente.
131. Técnicas e práticas de redação de laudo pericial
CONCISAS: Evitar a proxilidade, ou seja, a narração extensa de fatores
que podem ser resumidos em poucas palavras, sem perder o seu
conteúdo. A concisão dá mais força aos vocábulos cujo emprego
ciriterioso torna a leitura do laudo menos cansativa e evita dispersão do
raciocínio.
133. M OD ELOS
MODELO DE INTRODUÇÃO
A Computação Forense é ciência auxiliar da criminalística que tem como
objetivo esclarecer e investigar de forma científica o ambiente
informático quando este foi utilizado para a prática de crimes, tais
como: fraudes financeiras, utilização de sistema de correio eletrônico,
recuperação de arquivos e/ou partições destruídas pelo criminoso,
quebra de senhas em arquivos ou sistemas que contenham informações
vitais a investigação policial, enfim, ela se vale de todo um conjunto de
conhecimentos da informática para o esclarecimento de autoria e
materialidade dos mais diversos tipos de crime.
134. M OD ELOS
MODELO DE BREVE HISTÓRICO DO CASO
Foi registrado junto a Delegacia Especializada de Repressão de roubo a
Bancos, uma Notícia Crime promovida pela Administradora de Cartões
AYZ S/A, a qual dava conta de uma série de prejuízos financeiros
sofridos pela instituição devido a ação de fraudadores localizados na
Cidade de Faz de Conta, Estado de Felicidade. Conta à peça inicial,
que os fraudadores faziam uso de cadastros de clientes do sistema de
cartões de crédido do banco, os quais eram adquiridos de forma
indevida para manterem contato telefônico com estes e fazê-los crer
que se tratava de uma central de relacionamento do sistema VIU E
MOSTARDACARD, desta forma, iludiam os clientes, solicitavam
produtos e serviços em seus nomes e ainda apropriavam-se de senhas
de atendimento utilizadas para operações financeiras pelo telefone, tais
como, o pagamento de títulos bancários.
136. I P – I n qu é r it o Policia l
O inquérito policial é um procedimento policial administrativo,
anterior a ação penal (pré-processual) , mantido sob a guarda do
Escrivão de Polícia e presidido pelo Delegado de Polícia.
137. I P – I n qu é r it o Policia l
Tem por objetiva fornecer ao órgão da acusação os elementos
necessários para formar a suspeita do crime, a justa causa que
necessita aquele órgão para propor a ação penal, com os demais
elementos probatórios, ele orientará a acusação na colheita de
provas que se realizará durante a instrução processual.
138. M ode lo
I P – I n qu é r it o Policia l
Aos vinte e dois dias do mês janeiro ao ano de dois mil e nove (2009) nesta cidade de Faz de Conta,
Estado de mentinrinha, onde presente se achava na sede da Delegacia Especializada de Falsificações e
Defraudações da Polícia Civil do Estado de Mentirinha, o Bola Joao das Contas, Delegado de Polícia, o
qual nomeou esse signatário como PERITO ADHOC para este ato especificamente com o objetivo
de se produzir a prova técnica pericial de natureza definitiva . Tendo aceitado a presente
incumbência, passo a qualificar- me e prestar o devido compromisso legal. CLAUDEMIR DA COSTA
QUEIROZ, brasileiro, casado, analista de segurança da informação, perito extra-judicial, filho de Fulano de
Tal e Fulana de Tal, Portador da RG 123456 SSP-CE, expedida em 22 de abril de 1990, domiciliado a Rua da
Beleza, número 234, bloco A, Apto 890, bairro de Fantasia, Cidade de Faz de Conta, CEP 000000, local
aonde recebo intimações , podendo ainda ser localizado pelos telefones 55-876533 ou pelo correio eletrônico
claudemirqueiroz@gmail.com; Declaro sob as penas da lei penal que possuo curso de nível superior em
ciência da computação, Mestrando profissional em Computação Forense, que atuo como analista de
segurança da informação na Empresa XPTO12, atuo como professor universitário ministrando disciplinas em
segurança da informação, atuo ministrando curso de extensão em Perícia Forense Computacional com
ênfase em crimes eletrônicos.
Passo a prestar o devido compromisso legal de bem e fielmente cumprir com o encargo de perito
a mim ora delegado, onde me comprometo a proceder comforme a legislação penal e processual
penal vigente; Passo agora a examinar, fotografar, relatar e reduzir a termo escrito tudo o que a
mim foi perguntado pelo senhor Delegado em forma de quesitos, informando ainda outros fatos
que sejam relevantes ao feito.
139. M ode lo
de Pa r e ce r Fin a l e m I P
Verifica-se pelo conjunto de dados (informações) colhidos nos
computadores apreendidos que há farta quantidade de números
e cadastros de cartões de crédito, boletos bancários emitidos,
dados sobre compras e pagamentos por boletos bancários que
configuram a posse e utilização dos mesmos de forma indevida
pela pessoa do indiciado João das Contas, havendo robusta
materialidade (conjunto de informações) e autoria determinada
dos crimes investigados neste IP.
140. M ode lo
de Te r m o de En ce r r a m e n t o
Nada mais havendo a ser analisado ou descrito, passo a encerrar
o presente laudo técnico, que fora produzido em duas (02) vias
de igual teor e forma, contendo ambas 73 (setenta e três)
páginas, no que lavro o presente termo de encerramento que foi
por mim perito relator digitado e assinado, e pelo perito revisor
apenas assinado.
N om e ( s) e a ssin a t u r a ( s) do( s) pe r it o( s)
143. MECANISMOS DE PERSUASÃO
1 a . D a in for m a t ivida de –
a. Da informatividade
“o falante deve dizer ao ouvinte o que supõe que o ouvinte desconheça”.
No caso do perito falando ao juiz, deve-se ater às normas técnicas e ao
conhecimento da matéria técnica, sem ingressar no terreno jurídico, o
qual se pressupõe que o juiz conheça.
144. MECANISMOS DE PERSUASÃO
2 a . D a e x a u st ivida de –
a. Da exaustividade
“o locutor deve dar as informações mais fortes que tiver sobre o tema em
questão”. O perito deve fornecer ao juíz o maior número de informações
possível; ser conciso, e não ser lacônico. Ser lacônico é sonegar
informações.
145. MECANISMOS DE PERSUASÃO
3 a . O u so de lít ot e s –
a. uso lítotes
Consiste em desenvolver sobretudo o tratamento dos implícitos da
linguagem, pressupostos e subentendidos. Ao pressupor um conteúdo, o
enunciador determina sua aceitação como condição de manutenção do
diálogo. Por exemplo, pressupor as normas como de aceitação tácita para
que o discurso tenha prosseguimento. A lítote consiste em deixar
alguma coisa vaga para que o interlocutor interprete, assumindo
assim a responsabilidade pelo que foi dito, ou pelo que deixou de ser
dito, livrando o enunciador da responsabilidade do dizer.
147. D EM ON STRAÇÃO E ARGUM EN TAÇÃO
A demonstração liga-se à experiência e à dedução lógica e utiliza
provas analíticas. A argumentação emprega provas dialéticas e
diz respeito ao verossímil, ao plausível, ao provável, escapando
das certezas do cálculo lógico.
148. D EM ON STRAÇÃO E ARGUM EN TAÇÃO
O perito não precisa esforçar-se muito para demonstrar que dois
mais dois são quatro, verdade tida como universal. A
im por t â n cia de su a a r gu m e n t a çã o a u m e n t a obvia m e n t e ,
n a m e dida e m qu e t e m qu e de m on st r a r pa r a o j u íz
a sse r çõe s qu e de pe n de m de opin iõe s. Nesse ponto, sua
opinião deve estar muito bem alicerçada em fatos e fundamentos
e a linguagem precisa ser apurada, sempre levando em conta as
características da linguagem do juiz.
150. O AUDITÓRIO DO PERITO É O JUIZ
Existem
Ex ist e m dois tipos de auditório:
auditório:
Auditório particular
Auditório universal
151. O AUDITÓRIO DO PERITO É O JUIZ
O
O Auditório Universal
É “constituído pela humanidade toda ou ao menos por todos os homens
adultos e normais”
152. O AUDITÓRIO DO PERITO É O JUIZ
O
O Auditório Particular
É formado apenas pelo locutor ao qual o locutor se dirige.
153. O AUDITÓRIO DO PERITO É O JUIZ
. . . Ca da cu lt u r a , ca da cla sse socia l, ca da in divídu o t e m
su a pr ópr ia con ce pçã o de a u dit ór io u n ive r sa l e pa r t icu la r
e , a pa r t ir de la , fa z va r ir a r a “a r gu m e n t a çã o” .
154. O AUDITÓRIO DO PERITO É O JUIZ
A retórica mais eficaz é aquela que emprega apenas provas
lógicas (demonstração). A argumentação apresentada ao auditório
particular procura persuadir o ouvinte a realizar uma ação imediata ou
futura, desenrolando-se essencialmente no plano prático.
155. O AUDITÓRIO DO PERITO É O JUIZ
A distinção de convencer e persuadir depende, portanto, do
auditório representado pela enunciação. São as relações perito/juíz
que vão definir o tipo de discurso a ser utilizado para persuasão do
magistrado.
157. O EM PREGO D A I LUSTRAÇÃO
O perito forense pode u sa r m e t á for a s para enfatizar o que
está dizendo. Por exemplo: “Pescar em águas turvas” e “buscar
a prova onde não se pode enxergá-la, é procurar inventar o
que não existe”.
158. O EM PREGO D A I LUSTRAÇÃO
Pode ser usada também a m e t on ím ia , que é a designação de
um objeto por palavra designativa d’outro objeto que tem com
o primeiro uma relação. Exemplo: causa e efeito (trabalho, por
hora); continente e conteúdo (copo, por bebida)
160. Traços Reveladores de Intenção
O perito, quando elabora o arrazoado de seu laudo, na
quando elabora o arrazoado de seu na
qualidade de sujeito da enunciação, está condicionado às normas
de perícia e aos conhecimentos específicos que adquiriu para
exercer a função de perito.
O juíz, ao interpretar o parecer técnico do assistente , tem
sempre presente característica do assistente técnico e sendo o
seu receptor interpretante procura escoimar do parecer técnico
tudo quanto reduza tendenciosidade ou ideologia própria do
interesse da parte que o contratou.
162. PROD UÇÃO D O D I SCURSO ( la u do)
EXÓRD I O
apresentação do tema ou da tese a ser desenvolvida. Deve ser
leve, incisivo, provocar uma mudança de comportamento no
destinatário, de forma a tirá-lo de uma posição ou passividade e
predispô-lo a ouvir ou ler o discurso.
163. PROD UÇÃO D O D I SCURSO ( la u do)
N ARRAÇÃO
Narrativa dos fatos que vão motivar o aparecimento da tese
apresentada. Eles devem ser apresentados de forma a justificar
uma ação que será exercida no sentido de dar resposta a esses
fatos que clamam por uma solução ou por uma conclusão.
164. PROD UÇÃO D O D I SCURSO ( la u do)
CON FI RM AÇÃO
Exposição da tese para solucionar os problemas apresentados,
ou concluir baseado nela.
165. PROD UÇÃO D O D I SCURSO ( la u do)
PERORAÇÃO
Encerramento do discurso em final das conclusões
apresentadas, colocando um final mediante uma frase de fecho
conclamando o destinatário a aceitar a tese exposta.
166. PROD UÇÃO D O D I SCURSO ( la u do)
LEM BRES - SE
BRES-
No ato de nomeação do perito, o juíz surge como destinador
manipulador do experto, solicitando-lhe um obj e t o de va lor
que é a conclusão do laudo: a pr ova pe r icia l.
Para atingir esse obj e t o de va lor , o perito tem que primeiro
estar capacitado, qualificado para realizar esse tipo de trabalho.
167. O PERI TO É O GUARD I ÃO D A
VERD AD E !!!
“VERI TAS ASSEVERARE”
169. Bibliografia
FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada a Informática: ambiente
Microsoft. 1. ed. Rio de Janeiro: Brasport, 2006.
NG, Reynaldo. Forense Computacional Corporativa. 1. ed. Rio de Janeiro: Brasport, 2007.
PEIXOTO, Mário César Pintaudi. Criando um CSIRT: Computer Security Incident
Response Team e entendendo seus desafios. 1. ed. Rio de Janeiro: Brasport, 2008.
FIGUEIREDO, Jorge Ramos. Computação forense: apostila. Fortaleza: Faculdade Evolução,
2008.
RAMOS, Fábio F. Forense Computacional: apostila. Fortaleza: Axur Academy, 2006.
MANDIA, Kevin; PROSISE, Chris; PEPE, Matt. Incident Response & Computer Forensics.
New York: McGraw-Hill/Osborne, 2003.
DAN, Farmer; VENEMA, Wietse. Perícia Forense Computacional Teoria e Prática. São
Paulo: Pearson , 2005.
170. Bibliografia
EMILIO, Tissato Nakamura. Segurança de Redes em Ambientes Cooperativos. São Paulo:
Novatec, 2007.
PINHEIRO, Patrícia Peck. Direito Digital. 3. ed. São Paulo: Saraiva, 2009.
JOSÉ, Fiker. Linguagem do Laudo Pericial: técnicas de comunicação e persuasão. 1. ed. São
Paulo: Leud, 2005.
ROVINSK, Sonia Liane Reichert. Fundamentos da Perícia Psicológica Forense. 2. ed. São
Paulo: Vetor, 2007.
LAU, Marcelo. Treinamento em Forense Computacional. São Paulo, 2008.
171. This document was created with Win2PDF available at http://www.win2pdf.com.
The unregistered version of Win2PDF is for evaluation or non-commercial use only.
This page will not be added after purchasing Win2PDF.