RESUMO DO LIVRO TRATADO DE COMPUTAÇÃO FORENSE.

Explorando as Profundezas da Computação Forense: Uma Jornada através do “Tratado de Computação Forense” de Jesus Antonio

No vasto e dinâmico campo da Computação Forense, onde a batalha contra crimes digitais e incidentes cibernéticos se desenrola, a busca por conhecimento e compreensão aprofundada torna-se essencial. Nesse cenário desafiador, o livro “Tratado de Computação Forense”, de autoria de Jesus Antonio, destaca-se como uma obra seminal que oferece uma visão abrangente e detalhada desse domínio especializado. Este artigo tem como propósito fornecer um resumo perspicaz e informativo dessa obra, criada pela renomada Academia de Forense Digital. O intuito é não apenas divulgar os valiosos conteúdos presentes no livro, mas também facilitar os estudos e pesquisas de profissionais e pesquisadores dedicados à área de Computação Forense.

O Contexto da Computação Forense no Mundo Digital Atual

A era digital trouxe consigo uma miríade de oportunidades e desafios, e a ascensão da tecnologia também deu origem a novas formas de crimes e atividades ilícitas. A Computação Forense emerge como uma disciplina crucial, proporcionando as ferramentas e metodologias necessárias para investigar incidentes cibernéticos, coletar evidências digitais e levar responsáveis à justiça. O livro de Jesus Antonio surge como um farol nesse contexto, oferecendo uma visão aprofundada e estratégica para lidar com as complexidades da Computação Forense.

O “Tratado de Computação Forense” como Guia Abrangente

Ao mergulhar nas páginas do “Tratado de Computação Forense”, os leitores se deparam com um guia abrangente que aborda desde os princípios fundamentais até as técnicas mais avançadas da Computação Forense. O autor, com sua experiência e conhecimento sólido, traça um caminho didático, apresentando conceitos essenciais, estudos de caso práticos e orientações precisas. A obra se revela uma fonte valiosa para profissionais que buscam aprimorar suas habilidades e para estudantes que desejam se familiarizar com os aspectos cruciais da investigação forense no mundo digital.

Contribuindo para a Comunidade de Computação Forense

Além de ser um compêndio de conhecimentos, o “Tratado de Computação Forense” e este resumo têm o propósito de contribuir ativamente para a comunidade de Computação Forense. A Academia de Forense Digital, ao disponibilizar esse material, busca ampliar o alcance desses conhecimentos, promovendo o avanço da pesquisa e da prática na área. Este resumo, portanto, visa funcionar como uma ponte entre os interessados em Computação Forense e o vasto conhecimento contido no livro, proporcionando uma visão panorâmica que inspire e guie os estudiosos rumo ao entendimento mais profundo desse campo em constante evolução.

1.     Capítulo 0 – Introdução à Computação Forense

Computação Forense

De acordo com Franco, Vilar et al. (2016) a computação forense, também conhecida como digital forensics, é a ciência que se ocupa da coleta, preservação, análise e apresentação de provas digitais em processos judiciais ou investigações criminais. Ela é aplicada em casos de crimes cibernéticos, como invasões de sistemas, roubo de dados, fraude online, entre outros.  Para garantir a integridade e confiabilidade das provas coletadas, existem normas técnicas e procedimentos específicos a serem seguidos pelos profissionais de computação forense. Alguns exemplos incluem:

Coleta de provas: é importante garantir que as provas sejam coletadas de maneira segura e sem alterações, utilizando equipamentos específicos e procedimentos padrão.

• Preservação de provas: as provas coletadas devem ser armazenadas em local seguro e inalteradas, de modo a garantir sua integridade e autenticidade.
• Análise de provas: os profissionais de computação forense utilizam ferramentas e técnicas especializadas para analisar as provas e identificar indícios que possam auxiliar nas investigações.
• Apresentação de provas: as provas coletadas e analisadas devem ser apresentadas de maneira clara e objetiva, de modo a serem compreendidas por todos os envolvidos no processo.

Essas são apenas algumas das normas técnicas e procedimentos seguidos na computação forense, que visam garantir a confiabilidade e integridade das provas coletadas e analisadas.

A computação é uma área que tem evoluído rapidamente desde o seu surgimento, no século XX. De máquinas enormes e pouco acessíveis, passamos a ter computadores pessoais, dispositivos móveis e agora computação em nuvem e inteligência artificial.

Nesse cenário, o trabalho da Perícia Forense Computacional requer profissionais capacitados e grandes investimentos em soluções de TI para lidar com a complexidade dos exames periciais, tornando de extrema relevância fatores como :

• Fator Humano: tudo que é relacionado à capacidade de compreensão e tratamento das informações , dos vestígios e suas análises em nível de raciocínio e deduções.
• Fator Tecnológico: Tudo relacionado às facilidades e dificuldades impostas pela tecnologia. Principalmente no tocante aos recursos que envolvem tempo e espaço.
• Fator legal: A análise dos vestígios cibernéticos deve obedecer aos ditames de ordem legal e processual além dos princípios científicos.

Terminologia e Conceitos básicos

A Computação Forense adotou e padronizou alguns termos, tais como:

• Análise forense de computador: processo de coleta, preservação, análise e apresentação de provas digitais em um ambiente legal.
• Aquisição de dados: processo de coleta de dados de um dispositivo de armazenamento, geralmente com o objetivo de preservar esses dados para análise posterior.
• Hash: uma representação criptográfica de um arquivo ou conjunto de dados, usada para verificar a integridade dos dados e detectar alterações não autorizadas.
• Análise de log: processo de examinar registros de eventos gerados por sistemas e aplicativos para obter informações sobre atividades e incidentes.
• Análise de imagem de disco: processo de examinar uma imagem bit-a-bit de um disco rígido ou outro dispositivo de armazenamento para obter informações sobre o sistema operacional, arquivos, e-mails etc.
• Análise de rede: processo de examinar o tráfego de rede para obter informações sobre atividades e incidentes.
• Análise de artefato: processo de examinar elementos digitais, tais como arquivos, registros do sistema, e-mails etc. para obter informações sobre atividades e incidentes.
• Metadados: informações sobre os dados, como data e hora de criação, tamanho do arquivo etc.
• Cadeia de Custódia: conjunto de procedimentos e registros que documentam a coleta, armazenamento, transporte e análise de amostras e evidências. Ela é utilizada para garantir a integridade e a validade das evidências coletadas.

Normas Técnicas e Procedimentos

Para maiores informações, estes e outros termos podem ser encontrados na RFC 2828, uma especificação técnica da Internet, publicada pela Internet Engineering Task Force (IETF), que define as diretrizes e recomendações para a segurança da Internet. A RFC 2828 é conhecida como “Internet Security Glossary” e fornece uma definição de termos comuns usados na segurança da Internet, incluindo termos relacionados à criptografia, autenticação, segurança de rede, segurança de sistemas e segurança de aplicativos. Ela foi publicada pela primeira vez em maio de 2000.

No Brasil, não temos ênfase quanto ao uso de normas , regimentos ou procedimentos específicos para a Computação Forense. Porém, o Código de Processo Penal (CPP) exige que o Perito Oficial ou nomeado, tenha curso superior e faça uso de métodos aceitos pela comunidade científica. O profissional deve seguir regras impostas por Procedimentos Operacionais Padrão, Manuais e certificações profissionais e de laboratórios.

As normas técnicas para computação forense são fundamentais para garantir que as evidências digitais coletadas sejam válidas e confiáveis. Elas estabelecem procedimentos e diretrizes para a aquisição, preservação, análise e apresentação de evidências digitais em processos legais. As normas técnicas também ajudam a garantir que as evidências digitais sejam coletadas de forma não-intrusiva e sem alterar ou danificar os dados originais.

Existem várias normas e diretrizes internacionais para computação forense, incluindo as normas ISO 27037, ISO 27041 e ISO 27042, que estabelecem diretrizes para a gestão de incidentes de segurança cibernética, a aquisição e a preservação de evidências digitais e a análise de evidências digitais, respectivamente. Além disso, existem diretrizes específicas para diferentes setores, como a norma ASTM E 2818 para a investigação cibernética em casos de fraude. As normas técnicas ajudam a garantir que as evidências digitais sejam coletadas e analisadas de forma consistente e confiável, o que é essencial para garantir justiça.

Procedimento Operacional Padrão (POP)

De acordo com MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA (2023)[1] , um procedimento operacional padrão (POP) é uma espécie de estudo técnico que procura descrever requisitos e atividades necessários para alcance de um determinado resultado esperado.  O ato normativo brasileiro que possui a maior amplitude é a obra “Procedimento Operacional Padrão: Perícia Criminal, publicada pelo Ministério da Justiça , através da Secretaria Nacional de Segurança Pública.

A obra tem como objetivo garantir a qualidade e a confiabilidade das evidências digitais coletadas durante uma investigação criminal, e fornece diretrizes para a coleta, preservação e análise das evidências digitais. Além disso, ela também inclui diretrizes para a documentação e a apresentação das evidências digitais em processos legais. O POP Perícia Criminal é um conjunto de diretrizes e procedimentos que devem ser seguidos para garantir a qualidade e a confiabilidade das evidências digitais coletadas durante uma investigação.

Os POPs são projetados para garantir que as evidências digitais sejam coletadas e analisadas de forma consistente e confiável, independentemente do perito ou do local da investigação. Eles também ajudam a garantir que as evidências digitais sejam coletadas de forma não-intrusiva e sem alterar ou danificar os dados originais.

Os POPs incluem diretrizes para a aquisição de dados, como o uso de ferramentas de aquisição de dados confiáveis e a documentação detalhada do processo de aquisição. Também incluem diretrizes para a preservação de dados, como o uso de cópias de segurança forenses para garantir que as evidências não sejam alteradas ou danificadas durante o processo de investigação. Além disso, eles incluem diretrizes para a análise de dados, como o uso de ferramentas de análise forense confiáveis e a documentação detalhada do processo de análise.

 Crimes Cibernéticos e seus vestígios

De acordo com Vacca (2005),  “crimes cibernéticos são definidos como qualquer violação da lei que envolva a utilização de tecnologias da informação para cometer um delito”. O mesmo autor destaca que esses crimes são diferentes dos crimes tradicionais, pois eles geralmente não têm fronteiras geográficas e podem ser cometidos remotamente, além disso, os crimes cibernéticos frequentemente envolvem a utilização de software malicioso e outras técnicas avançadas para comprometer sistemas e coletar informações.

Crimes cibernéticos podem incluir atividades como hacking, roubo de identidade, fraude eletrônica, difamação, extorsão, vazamento de informações confidenciais e ataques de negação de serviço (DoS). Esses crimes são cada vez mais frequentes e complexos devido ao crescimento e à disseminação da tecnologia da informação.

Para compreender a ampla variedade de crimes cibernéticos é necessário dividi-lo em duas categorias gerais. Na primeira categoria de crimes cibernéticos é aquela em que o computador é apenas uma ferramenta de auxílio aos criminosos. Por exemplo, um indivíduo pode usar um computador para cometer fraude financeira, como acessar ilegalmente uma conta bancária e transferir dinheiro para outra conta. Outro exemplo seria o uso de um computador para cometer crimes tradicionais, como espionagem industrial ou roubo de informações confidenciais.

A segunda categoria de crimes cibernéticos é aquela em que o computador é a peça principal para o cometimento do crime. Por exemplo, o crime de invasão de computador, em que o criminoso entra ilegalmente em um sistema de computador para obter informações confidenciais ou causar danos.

No Brasil, a fim de tipificar os chamados delitos informáticos, a Lei 12.737/2012 foi sancionada promovendo alterações no Código Penal Brasileiro. Sancionada em 2 de dezembro de 2012, a lei  estabelece penas severas para os crimes cibernéticos, incluindo invasão de computador, roubo de informações confidenciais, difamação, calúnia, danos a sistemas de informação e outros crimes similares.

Temas abordados no Tratado de Computação Forense

• Identificação, Isolamento, Coleta e Preservação do vestígio cibernético;
• Fundamentos do Sistema de Arquivo;
• Exames em Mídia de Armazenamento;
• Exames em Locais de Internet;
• Exame em Redes de Computadores e Dados de interceptação telemática;
• Exames em Imagens Digitais;
• Exames em Computação Embarcada;
• Exames em dispositivos móveis;
• Exames em Computação na Nuvem;
• Exames em Detecção de Intrusão;
• Exames em Malwares;
• Exames em dados Criptografados;
• Segurança e Defesa Cibernética;
• Noções de Direito Cibernético;
• Documentos Processuais – Laudos , Pareceres e Relatórios.

A internet e as redes sociais têm sido fundamentais para a conexão global e o acesso à informação. No entanto, com o aumento do uso da tecnologia, também tem havido um aumento na ocorrência de crimes cibernéticos. Nesse contexto , surgem novos crimes e novas formas de praticar antigos crimes.

O Perito precisa estar atualizado em conhecimentos, aliado às ferramentas computacionais mais modernas e conhecer as legislações pertinentes. É um grande desafio para aqueles que enveredam por esse caminho.

2.          Capítulo 1 – Identificação, isolamento, coleta e preservação do vestígio cibernético.

Os vestígios cibernéticos

A utilização de um recurso computacional deixa evidências que podem ser identificadas e utilizadas para o estabelecimento da materialidade, dinâmica e autoria e até a motivação de um fato. Os vestígios cibernéticos são informações digitais deixadas por indivíduos ou dispositivos em sistemas de computadores, dispositivos móveis e outras plataformas digitais. Esses vestígios podem incluir arquivos, registros de log, históricos de navegação, e-mails, mensagens de texto, entre outros. Eles podem ser encontrados em sistemas de computadores, dispositivos móveis, redes, cloud e outras plataformas digitais.

Na busca por essas evidências, o consagrado princípio de Locard  –  um princípio fundamental da criminalística que afirma que “cada contato deixa sua marca” – foi proposto pelo criminologista francês Edmond Locard no início do século XX e é considerado como uma das bases da criminalística moderna. Ele se aplica tanto para crimes físicos, como homicídios e roubos, quanto para crimes cibernéticos, como invasão de sistemas e roubo de informações.

O tratamento de vestígios cibernéticos será abordado nas seguintes atividades forenses:

• Identificação;
• Isolamento;
• Registro;
• Coleta;
• Preservação.

Identificação: Existem dois contextos de análise forense que particularizam bastante os crimes cibernéticos:

Contexto Físico: Formado por circuitos eletrônicos, dispositivos físicos etc. A parte material, tangível do sistema.

Contexto Lógico: Composto pelas linhas de código, pelas partes binárias e instruções . É a parte intangível ou imaterial do sistema.

A compreensão da existência de ambos os contextos , servirá de base para a identificação e coleta das evidências necessárias à elucidação do fato.

Isolamento: O isolamento de vestígios cibernéticos é uma técnica importante para garantir a integridade das evidências em investigações de crimes cibernéticos. Isso implica em separar o dispositivo ou sistema onde o crime foi cometido, para evitar que outros indivíduos ou dispositivos tenham acesso a ele e possam alterar ou destruir as evidências. Não existe um gabarito que normatize as providências a serem tomadas para o isolamento dos vestígios. O bom senso e a iniciativa dos envolvidos serão os elementos norteadores das providências adotadas.

Registro: O registro de vestígios cibernéticos permite documentar e preservar as evidências encontradas. É importante registrar todas as informações encontradas, incluindo as características do dispositivo ou sistema, os arquivos e os registros de log. Essas informações são importantes para estabelecer a relação entre os indícios encontrados e o crime cometido.

O registro de vestígios cibernéticos deve ser feito seguindo procedimentos padronizados para garantir a integridade das evidências. Isso inclui documentar as informações encontradas, fotografar o dispositivo ou sistema e fazer cópias precisas dos dados. Além disso, é importante fazer o rastreamento de cada passo do processo de registro, para garantir a autenticidade das evidências.

Coleta: As evidências coletadas devem ser armazenadas em meios seguros e confiáveis, para garantir que elas possam ser usadas como provas em um processo judicial. Além disso, é importante fazer a análise das evidências para identificar as fontes dos indícios e reconstruir as ações dos indivíduos envolvidos no crime. A análise deve ser feita por profissionais capacitados e qualificados, que devem seguir procedimentos padronizados para garantir a integridade das evidências.

Preservação: A preservação de vestígios cibernéticos garante que as evidências encontradas sejam mantidas de forma segura e precisa para serem usadas como provas em um processo judicial. Após a coleta, a preservação de vestígios cibernéticos deve ser realizada de forma precisa e detalhada. Alguns cuidados devem ser tomados para evitar que as evidências sejam comprometidas.

Perante os vários agentes deterioradores dos vestígios, deve-se levar em conta não somente o tempo e os meios de transporte do local do recolhimento até o local de acondicionamento, mas também o tempo para que os exames se iniciem.

Para maiores informações e entendimentos sobre o processo de identificação, coleta, aquisição e preservação de evidência digital recomendo ler a NBR 27037[2]  importante norma para garantir a qualidade e a confiabilidade das evidências cibernéticas coletadas, ela é amplamente utilizada pelas autoridades investigativas e judiciais no Brasil, e é considerada como uma referência para a investigação de crimes cibernéticos.

Ela é um guia útil para garantir a integridade das evidências e aumentar a confiança nas investigações e nos processos judiciais relacionados a crimes cibernéticos.

 

3.          Capítulo 2 – Fundamentos de sistemas de arquivos

Os sistemas de arquivos são componentes fundamentais dos sistemas operacionais, controlando como os arquivos são armazenados, organizados e acessados em um dispositivo. Eles fornecem uma estrutura para organizar e gerenciar arquivos e pastas, permitindo que os usuários criem, leiam, alterem e excluam arquivos de forma eficiente.

Cada sistema operacional utiliza um ou mais sistemas de arquivos. Os mais comuns são o FAT (File Allocation Table) e o NTFS (New Technology File System), ambos utilizados no Windows, e o ext4, usado no Linux. Esses sistemas de arquivos diferem em sua estrutura, desempenho e recursos, mas todos eles permitem que os usuários criem e gerenciem arquivos e pastas de forma eficiente.

Além disso, muitos sistemas operacionais modernos, incluindo Windows e Linux, oferecem suporte a vários sistemas de arquivos, permitindo que os usuários escolham o sistema de arquivos mais adequado para suas necessidades.

Com o crescimento da capacidade das unidades de armazenamento e tamanho de arquivos, o controle de acesso aos dados torna-se uma tarefa cada vez mais complexa.

Sistemas de arquivo

O Sistema de arquivos é uma forma de organizar, proteger e representar dados estruturados, acompanhado de um conjunto de metadados, que proporciona uma visão sistêmica do grande volume de informações contidas em mídias de armazenamento computacional .

Armazenamento de dados é o processo de guardar informações em um meio de armazenamento, como um disco rígido ou nuvem. É importante para garantir que os dados estejam disponíveis para uso futuro e possam ser recuperados em caso de perda ou falha. Existem vários tipos de armazenamento, como armazenamento local, armazenamento em nuvem e armazenamento em fita. Cada tipo tem suas próprias vantagens e desvantagens, e é importante escolher o tipo adequado de acordo com as necessidades de armazenamento de cada organização.

Independente da forma com os dados são gravados fisicamente nos diversos tipos de mídias, as informações são armazenadas em sua forma mais básica, o bit.

A notação hexadecimal é um sistema de numeração utilizado para representar números binários de forma mais compacta. Ela é baseada em 16 símbolos diferentes, ao invés dos 10 símbolos usados no sistema decimal comum. Os símbolos usados na notação hexadecimal são os dígitos de 0 a 9 e as letras A, B, C, D, E e F. Cada símbolo hexadecimal representa um número binário de 4 bits, o que permite representar números binários de até 8 bits com apenas 2 símbolos hexadecimais. Por exemplo, o número binário 10011011 pode ser representado como 9B em notação hexadecimal. Essa notação é amplamente utilizada na programação de computadores.

As informações computacionais são gravadas em mídias. As mídias de armazenamento são dispositivos utilizados para armazenar dados e informações de forma eletrônica. Elas podem ser classificadas em três categorias: mídias voláteis, mídias não-voláteis e mídias removíveis.

As mídias voláteis, como a memória RAM, armazenam informações temporariamente e perdem os dados quando a energia é desligada. Já as mídias não-voláteis, como os discos rígidos e os cartões de memória, armazenam informações de forma permanente e não perdem os dados quando a energia é desligada. Por fim, as mídias removíveis, como os discos rígidos externos e os pendrives, permitem que os dados sejam facilmente transferidos de um dispositivo para outro. Cada tipo de mídia possui suas próprias características, como capacidade de armazenamento, velocidade de acesso e durabilidade, e é utilizado em diferentes aplicações.

As mídias de armazenamento mais usadas são os discos mecânicos (HD´s) ,as memórias flash ( pendrives, SSD e cartões de memória)e os discos óticos (CD, DVD e Blu-ray).

DISCOS RÍGIDOS MECÂNICOS

O disco rígido é uma das principais mídias de armazenamento utilizadas em computadores e dispositivos eletrônicos. Ele é composto por uma ou mais placas de metal cobertas por uma camada fina de material magnético, onde os dados são gravados. Os discos rígidos são divididos em dois tipos: discos rígidos internos e discos rígidos externos. Os discos rígidos têm capacidade cada vez maior de armazenamento e velocidade de acesso cada vez maior. A tendência atual é a utilização de discos rígidos baseados em estado sólido (SSD) que proporciona uma maior velocidade na leitura e escrita de dados, mas ainda são mais caros do que os tradicionais HDs.

Figura 2- Memórias Flash

MEMÓRIAS FLASH

As memórias flash são tipos de mídias não-voláteis utilizadas para armazenar dados e informações de forma permanente. Elas funcionam através de células de memória que podem ser apagadas e gravadas eletricamente, permitindo a atualização de dados sem a necessidade de remover a fonte de energia. As memórias flash são amplamente utilizadas em dispositivos eletrônicos, como smartphones, câmeras digitais, computadores portáteis e dispositivos de armazenamento externos. Elas são conhecidas por sua alta densidade de armazenamento, baixo consumo de energia, resistência a impactos e às variações de temperatura, e capacidade de operar em condições extremas. Além disso, as memórias flash são leves, compactas e fáceis de transportar, o que as torna ideais para aplicações móveis.

DISCOS ÓPTICOS

São mídias de armazenamento computacional que tem como principal característica a leitura /escrita por meio de laser. Eles são compostos por uma camada fina de material reflexivo (geralmente alumínio) coberta por uma camada de material transparente, como policarbonato.

Os discos ópticos são amplamente utilizados para armazenar arquivos de música, vídeo, software e dados em geral. Existem vários tipos de discos ópticos, como CDs, DVDs e Blu-ray. Cada tipo tem sua própria capacidade de armazenamento, velocidade de acesso e compatibilidade com dispositivos de leitura. Eles são conhecidos por serem resistentes a impactos, resistentes a riscos e têm uma vida útil prolongada se armazenados corretamente. Além disso, eles podem ser facilmente reproduzidos e distribuídos em grandes quantidades, o que os torna ideais para aplicações comerciais.

Para que um dispositivo seja utilizado para leitura e gravação, deve ser criado uma ou mais áreas lógicas denominadas partições, através de particionamento. Cada partição é tratada como um dispositivo de armazenamento independente pelo sistema operacional, o que permite ao usuário organizar e gerenciar seus dados de forma mais eficiente.

Cada partição é tratada pelo sistema operacional como se fosse um disco físico independente, permitindo que diferentes sistemas operacionais, aplicativos ou dados sejam armazenados em diferentes partições. Isso pode ser útil para organizar melhor os dados, facilitar a manutenção e a recuperação de dados, e melhorar o desempenho do sistema.

Os principais sistemas de arquivo são:

• NTFS (New Technology File System): sistema de arquivos padrão do Windows. Ele oferece suporte a arquivos de até 16 terabytes, permissões de arquivo avançadas e recuperação de dados.
• FAT (File Allocation Table): é um sistema de arquivos simples que foi originalmente desenvolvido para ser usado em sistemas operacionais antigos, como o DOS e o Windows 3.x. Ele é geralmente utilizado em dispositivos removíveis, como pendrives e cartões de memória.
• exFAT (Extended File Allocation Table): é um sistema de arquivos criado pela Microsoft, como uma evolução do FAT. Ele oferece suporte a arquivos de até 128 petabytes e é amplamente utilizado em dispositivos removíveis e cartões de memória.
• ext (Extended File System): é o sistema de arquivos padrão usado em sistemas operacionais Linux e Unix. Ele oferece suporte a arquivos de até 8 exabytes e possui recursos avançados de gerenciamento de arquivos, como links simbólicos e permissões de arquivo avançadas.
• HFS+ (Hierarchical File System Plus): é o sistema de arquivos padrão usado pelo Mac OS. Ele oferece suporte a arquivos de até 8 exabytes e possui recursos avançados de gerenciamento de arquivos, como links simbólicos e permissões de arquivo avançadas.

A análise dos sistemas de arquivos pode fornecer informações valiosas para uma investigação forense, como arquivos excluídos, histórico de navegação, registros de login e outros dados que podem ser usados como evidência em um processo legal. Além disso, os sistemas de arquivos também podem ser usados para determinar se um dispositivo foi alterado ou comprometido, o que pode ser importante para investigações de segurança cibernética.

O papel do Perito é essencial para confirmar se as informações presentes nas mídias podem ser confiáveis (ou não) para identificar um determinado delito e sua autoria.

4.          Capítulo 3 – Exames em mídias de armazenamento

A análise de mídias de armazenamento é um processo importante na computação forense, pois permite aos investigadores recuperar e analisar dados armazenados em dispositivos como discos rígidos, unidades flash, discos externos e outros dispositivos de armazenamento.

Essa análise pode fornecer informações valiosas para uma investigação, como arquivos excluídos, histórico de navegação, registros de login e outros dados que podem ser usados como evidência em um processo legal. Além disso, a análise de mídias de armazenamento também pode ser usada para determinar se um dispositivo foi alterado ou comprometido, o que é importante para investigações de segurança cibernética e requer a utilização de ferramentas especializadas e técnicas para garantir a integridade dos dados coletados.

O perito precisa ter conhecimentos especializados na área, como conhecimento dos sistemas de arquivos, protocolos de rede e ferramentas de análise de dados. Ele precisa seguir protocolos rigorosos de segurança para garantir que os dados coletados não sejam alterados durante o processo, e precisa garantir a autenticidade e integridade dos dados para assegurar que as informações possam ser usadas como prova válida em um processo legal.

Este capítulo aborda as fases básicas do exame de perícia em mídias computacionais:

• Preservação: Garantir a preservação da evidência durante a realização dos exames.
• Extração de Dados: Identificação dos arquivos ou fragmentos de arquivos presentes na mídia.
• Análise: Identificar nos arquivos recuperados, informações úteis.
• Apresentação: Relato formal das conclusões do Perito.

Preservação

A preservação é uma das etapas mais importantes no processo de exame pericial e faz parte da cadeia de custódia, que é o conjunto de procedimentos para garantir a integridade e a autenticidade das provas coletadas. A preservação adequada dos vestígios é fundamental para que os peritos possam analisá-los de maneira correta e produzir um laudo confiável. Os vestígios digitais merecem atenção especial, pois podem ser facilmente alterados ou apagados por meio de ações no próprio dispositivo ou por conexão remota. Para garantir a preservação dos vestígios digitais, alguns cuidados devem ser tomados:

• Identificação dos pontos de coleta: é importante identificar quais pontos do dispositivo contêm os vestígios a serem analisados. No caso de computadores, por exemplo, é comum analisar o disco rígido, a memória RAM e os dispositivos de armazenamento externo conectados.
• Coleta de dados forenses: a coleta de dados deve ser feita de forma forense, utilizando ferramentas específicas para preservar a integridade dos vestígios. Essas ferramentas evitam alterações acidentais nos dados e garantem a possibilidade de reproduzir as mesmas análises posteriormente.
• Armazenamento seguro: os vestígios digitais devem ser armazenados de forma segura e isolada, para evitar a contaminação ou a alteração dos dados. Recomenda-se o uso de equipamentos de armazenamento externo, como discos rígidos ou pendrives, criptografados e protegidos por senha.
• Registro de informações: todas as informações relevantes devem ser registradas, como a data e hora da coleta, os procedimentos realizados e os dados coletados.

Ao seguir esses cuidados, é possível garantir a preservação dos vestígios digitais e produzir laudos periciais confiáveis. A preservação adequada dos vestígios é um passo fundamental para garantir a integridade e a autenticidade das provas coletadas.

Uma das decisões a serem tomadas no processo de preservação de dados é o destino dos dados. Há dois tipos de espelhamento: de mídia para mídia e de mídia para arquivo de imagem.

O espelhamento de mídia para mídia

O processo de espelhamento de mídia, também conhecido como imagem forense, é uma técnica utilizada para fazer uma cópia exata de um dispositivo de armazenamento, como um disco rígido ou pendrive. Essa cópia inclui não apenas os arquivos visíveis, mas também os dados apagados e os setores ocultos do dispositivo, o que pode ser fundamental em investigações criminais, onde é preciso garantir que as provas sejam preservadas para que possam ser utilizadas em um julgamento. Com a imagem forense, é possível analisar os dados sem precisar mexer no dispositivo original, o que evita que ele seja contaminado ou danificado durante o processo de análise.

O processo de higienização, por sua vez, é o procedimento de apagar todos os dados do dispositivo de armazenamento de forma segura, para que eles não possam ser recuperados posteriormente. Isso é especialmente importante quando se deseja descartar um dispositivo ou repassá-lo para outra pessoa.

Os programas forenses são ferramentas utilizadas para analisar e recuperar dados de dispositivos de armazenamento, como discos rígidos, dispositivos de armazenamento externos e até mesmo dispositivos de armazenamento em nuvem. Essas ferramentas permitem que os investigadores digitalizem dispositivos em busca de provas digitais, tais como arquivos, mensagens de texto, históricos de navegação e muito mais.

Os programas forenses também podem ser usados ​​para analisar mídia, como imagens, vídeos e áudios. Isso inclui a capacidade de recuperar arquivos excluídos, verificar a autenticidade de arquivos e extrair metadados. Além disso, esses programas também podem ser utilizados para analisar dispositivos móveis, como smartphones e tablets.

Alguns exemplos de softwares forenses incluem:

• EnCase: É um software popular utilizado para coletar, analisar e apresentar provas digitais. Ele permite aos investigadores digitalizar dispositivos de armazenamento em busca de arquivos, mensagens de texto, históricos de navegação e muito mais.
• FTK (Forensic Toolkit): É outro software de análise forense popular que permite aos investigadores digitalizar dispositivos de armazenamento em busca de provas digitais. Ele também inclui recursos para análise de mídia, como recuperação de arquivos excluídos e extração de metadados.
• Cellebrite: É um software de análise de dispositivos móveis utilizado para recuperar dados de smartphones e tablets. Ele permite aos investigadores recuperar mensagens de texto, históricos de chamadas, dados de localização e muito mais.
• Autopsy: É uma ferramenta open-source para análise forense de discos rígidos e outros dispositivos de armazenamento. Ele permite aos investigadores digitalizar dispositivos em busca de provas digitais e inclui recursos para análise de mídia, como recuperação de arquivos excluídos e extração de metadados.
• Oxygen Forensic Suite: É uma ferramenta para análise forense de dispositivos móveis e computadores. Ele permite aos investigadores recuperar mensagens de texto, dados de localização, históricos de chamadas e muito mais. Ele também inclui recursos para análise de mídia, como recuperação de arquivos excluídos e extração de metadados.

É importante observar que ferramentas de análise sofrem mudanças e atualizações constantes e, dentre tantas ferramentas disponíveis no mercado, é preciso escolher aquela que mais seja adequada à extração de dados relevantes. Sem esquecer, no entanto, que a habilidade técnico-pericial é imprescindível ao trabalho pericial de excelência.

Extração de dados

Essa fase tem por objetivo identificar os arquivos ativos, apagados e até mesmo os fragmentados.

O primeiro passo na extração de dados é o acesso ao dispositivo em questão. Isso pode ser feito de diversas maneiras, dependendo das características do dispositivo. Alguns dispositivos podem ser facilmente acessados através de uma conexão direta, como um disco rígido interno, enquanto outros dispositivos podem exigir técnicas mais avançadas, como a remoção da memória de um telefone celular.

Uma vez que o acesso ao dispositivo é garantido, o próximo passo é identificar os dados relevantes que precisam ser preservados e recuperados. Isso envolve a análise do sistema de arquivos do dispositivo e a identificação de arquivos e diretórios importantes.

A preservação dos dados é extremamente importante durante todo o processo de extração. Os peritos forenses precisam garantir que os dados recuperados não sejam alterados ou corrompidos durante a extração e a análise. Para isso, são utilizadas ferramentas de software especializadas que fazem a cópia exata dos dados do dispositivo.

Uma vez que os dados foram extraídos e preservados, os peritos forenses podem realizar a análise forense propriamente dita. Isso envolve a busca por informações específicas, como arquivos de sistema, histórico de navegação na internet e registros de chamadas telefônicas. Os peritos também podem usar ferramentas especializadas para analisar dados em bruto, como arquivos de registro do sistema operacional.

No final do processo de extração de dados, os peritos forenses produzem um relatório detalhado que descreve todos os passos realizados, os dados encontrados e as conclusões alcançadas. Esse relatório pode ser utilizado em investigações criminais ou em processos judiciais, e é fundamental para garantir a integridade das provas digitais.

Assinatura de arquivo

A assinatura de arquivo, também conhecida como “número mágico”, é uma sequência de bytes que é usada para identificar o tipo de arquivo e o formato de dados contido em um arquivo. Essa sequência de bytes geralmente é encontrada no início do arquivo e é usada pelo sistema operacional e pelos aplicativos para determinar como o arquivo deve ser tratado.

É uma parte importante da identificação de arquivos porque muitos tipos de arquivo têm extensões de nome de arquivo comuns, como .docx para documentos do Microsoft Word ou .jpg para imagens JPEG. No entanto, essas extensões de nome de arquivo nem sempre são precisas e confiáveis na identificação de tipos de arquivo, já que os usuários podem renomear um arquivo e mudar sua extensão para algo diferente do tipo de arquivo real. Por exemplo, um arquivo malicioso pode ser renomeado para ter uma extensão de arquivo legítima para tentar enganar o usuário e o sistema operacional.

A assinatura de arquivo é usada pelos sistemas operacionais para identificar corretamente o tipo de arquivo, independentemente da extensão de nome de arquivo. Por exemplo, um arquivo .jpg que foi renomeado para ter uma extensão .docx ainda será identificado como um arquivo de imagem JPEG pelo sistema operacional, desde que a assinatura de arquivo esteja presente no início do arquivo.

A assinatura de arquivo pode ser usada para garantir a integridade dos dados, pois se a assinatura for corrompida ou ausente, o sistema operacional pode reconhecer o arquivo como inválido e impedir que ele seja aberto ou executado. Além disso, a assinatura de arquivo pode ser usada para detectar arquivos maliciosos ou corrompidos antes que eles causem danos ao sistema.

Existem diversas assinaturas de arquivos usadas para identificar o tipo de arquivo e o formato de dados contido neles. Alguns exemplos de assinaturas de arquivos mais comuns incluem:

1. JPEG/JFIF: FF D8 FF
2. PNG: 89 50 4E 47 0D 0A 1A 0A
3. PDF: 25 50 44 46
4. DOCX: 50 4B 03 04
5. MP3: FF FB
6. GIF: 47 49 46 38 37 61
7. ZIP: 50 4B 03 04

Essas assinaturas de arquivos são usadas por sistemas operacionais, aplicativos e softwares de segurança para identificar o tipo de arquivo e o formato de dados contido neles. É importante ressaltar que algumas extensões de nome de arquivo podem ser enganosas, portanto, a assinatura de arquivo é uma ferramenta importante para garantir que os arquivos sejam tratados corretamente e evitar possíveis danos ou riscos à segurança.

Análise

Após a fase de preservação e extração de dados em um exame pericial de mídias computacionais, segue-se a fase de análise. Nessa fase, o perito irá analisar as informações coletadas a fim de identificar as evidências relevantes para o caso em questão.

Existem diversas técnicas e procedimentos que o perito pode adotar na fase de análise, dependendo da necessidade e complexidade do caso em questão. A seguir, listamos alguns dos procedimentos que podem ser adotados:

1. Análise de Metadados: Uma das primeiras etapas na análise de dados é a análise de metadados, que inclui informações sobre a criação, modificação e acesso a arquivos. Os metadados podem fornecer informações importantes sobre quando e por quem os arquivos foram criados, modificados ou acessados. Isso pode ajudar a identificar possíveis suspeitos e/ou locais relevantes.
2. Análise de Palavras-chave: A análise de palavras-chave é um procedimento que permite identificar palavras ou frases específicas que podem ser relevantes para o caso. Essas palavras podem ser usadas para pesquisar arquivos e dados em uma mídia computacional.
3. Análise de Arquivos de Sistema: A análise de arquivos de sistema é um procedimento que permite identificar arquivos críticos para o funcionamento do sistema operacional e aplicativos. Esses arquivos podem conter informações relevantes sobre a utilização do computador, como logs de atividades, registros de programas instalados, históricos de navegação na internet, entre outros.
4. Análise de Imagens de Mídia: A análise de imagens de mídia é um procedimento que permite identificar imagens e vídeos relevantes para o caso. Essa análise pode incluir a identificação de imagens adulteradas, além da análise de metadados das imagens e vídeos.
5. Análise de Comunicações: A análise de comunicações inclui a análise de mensagens de e-mail, chat e outras comunicações eletrônicas. Esse procedimento pode ajudar a identificar possíveis suspeitos e/ou locais relevantes, além de fornecer informações sobre a comunicação entre as partes envolvidas no caso.
6. Análise Forense de Rede: A análise forense de rede inclui a análise de dados de rede, como logs de acesso, tráfego de rede e registros de conexão. Essa análise pode ajudar a identificar possíveis invasores, locais de origem de ataques, além de fornecer informações sobre o uso da rede.

Esses são apenas alguns dos procedimentos que podem ser adotados na fase de análise após a preservação e extração dos dados em um exame pericial de mídias computacionais. O perito deve avaliar cada caso individualmente e escolher as técnicas mais adequadas para identificar as evidências relevantes para o caso.

 5.          Capítulo 4 – Exames em locais de Internet

Tem-se assistido a um aumento das análises periciais na Internet como forma de detecção e prevenção de crimes digitais como o ciberterrorismo ou as ciberfraudes. Os especialistas são capazes de monitorar determinados sites ou investigar atividades maliciosas que ocorrem on-line usando ferramentas e técnicas sofisticadas que os ajudam a detectar quaisquer atividades ilegais que ocorrem na Internet .

Uma das técnicas atuais para analisar vestígios de crimes digitais é a análise de sites. Com esse método, os investigadores podem analisar a estrutura e o conteúdo dos sites usados para cometer um crime, seja coletando informações da página ou realizando investigações adicionais por meio do servidor que a hospeda.

Os investigadores examinam o conteúdo encontrado na web por meio do uso de ferramentas e serviços disponíveis na internet. Isso inclui a busca de informações dentro da rede TOR, que permite o acesso a sites não indexados pelos buscadores tradicionais, além de desvendar informações de redes sociais e outros meios de comunicação utilizados por criminosos.  As técnicas de investigação de crimes digitais estão sendo constantemente desenvolvidas à medida que mais especialistas examinam novos métodos para ajudar a detectar crimes digitais com eficácia.

– Redes sociais e suas fontes de vestígios cibernéticos para a perícia forense

As redes sociais também são cada vez mais usadas como uma importante fonte de evidência, pois os criminosos tiram proveito do anonimato ou da falta de segurança nessas plataformas. Em virtude disso, os investigadores buscam links entre criminosos e outros envolvidos em atividades criminosas em várias redes sociais como Facebook, Twitter e Instagram, ajudando-os a entender como um crime foi cometido ou quem esteve envolvido nele.

As redes sociais se tornaram uma parte essencial de nossas vidas, mas com elas vêm alguns riscos. Com experiência forense, você pode identificar possíveis ameaças, rastrear a atividade do usuário e evitar possíveis ataques . Algumas das melhores ferramentas forenses para redes sociais são:

– Facebook Forensic Toolkit (FFT)

Figura 4 – Facebook Forensic Toolkit

Fonte: Internet

– Twitter Forensic Toolkit (TFT)

É uma ferramenta utilizada para coletar e analisar dados do Twitter. Ele permite que os usuários pesquisem e baixem tweets, informações de perfil de usuários, hashtags, menções, entre outros dados do Twitter de forma organizada e estruturada para fins de investigação ou análise.

O Twitter Forensic Toolkit também pode ser usado para identificar tendências e padrões no uso do Twitter, como para investigações criminais ou estudos de mídia social. A perícia forense em redes sociais é a capacidade de investigar um crime ou outro assunto legal usando evidências digitais de plataformas de mídia social. Isso está se tornando cada vez mais importante na sociedade moderna, pois cada vez mais nossas vidas são conduzidas online, com grandes quantidades de dados sendo armazenados em redes sociais. Esses dados podem ser usados para descobrir pistas e evidências importantes sobre um caso, permitindo que os investigadores determinem a verdade.

Com o treinamento e a experiência certos, os especialistas digitais podem acessar e analisar contas de mídia social para descobrir evidências que, de outra forma, poderiam passar despercebidas. À medida que a tecnologia digital e as redes sociais continuam a evoluir, também aumentará a necessidade de perícia forense em redes sociais.

As ferramentas forenses digitais são projetadas para ajudar os investigadores a coletar e analisar evidências de dispositivos digitais. No mundo cada vez mais digital de hoje, essas ferramentas são inestimáveis para quem procura obter conhecimento e experiência aprofundados nesse campo. Eles podem ser usados para recuperar dados excluídos, identificar arquivos ocultos e descobrir códigos maliciosos, entre outras atividades.

Essas ferramentas podem fornecer informações valiosas sobre as atividades dos suspeitos, incluindo uma visão abrangente de suas atividades e comunicações online. Com experiência digital, os investigadores podem obter uma imagem muito mais completa do suspeito e de sua atividade criminosa.

– Histórico de Navegação e de Cache e sua localização em disco.

Os arquivos de histórico de navegação e de cache são criados automaticamente pelo seu navegador web durante a utilização da internet. Eles são armazenados em seu computador com o objetivo de facilitar o acesso a sites visitados recentemente e acelerar o carregamento de páginas.

O histórico de navegação é uma lista de todos os sites que você visitou com data e hora de acesso. Isso permite que você possa facilmente retornar a um site visitado recentemente sem precisar digitar todo o endereço novamente. O cache de navegação é uma pasta que contém elementos baixados da internet, como imagens e arquivos, para que eles possam ser carregados mais rapidamente ao visitar o mesmo site novamente.

A localização dos arquivos de histórico e cache varia de acordo com o sistema operacional e o navegador que você está usando.

Alguns utilitários específicos para a coleta de dados no navegador Internet Explorer são:

– IEHistoryView;

– BrowsingHistoryView;

– IECacheView e

– IECookiesView.

Para a localização de informações de navegação no Mozilla Firefox, temos:

– MozillaHistoryView

– MozillaCacheView

-MozillaCookiesView

À medida que a importância da segurança cibernética aumenta, também aumenta a necessidade de especialistas para combater os ataques cada vez mais sofisticados em redes públicas e privadas. Esses ataques geralmente deixam rastros muito tênues, portanto, os especialistas devem ter as ferramentas e o conhecimento para analisar quantidades impressionantes de dados de ataque.

A demanda por análises digitais na internet tende a aumentar de forma contínua em razão da nova realidade da sociedade. Estamos vivendo em um mundo cada vez mais virtual e sem limites.

6.        Capítulo 5 – Exames em redes de computadores e dados de interceptação telemática.

De acordo com Nunes (2016), as redes de computadores tornam-se a base para qualquer tipo de comunicação. A perícia em redes de computadores é uma especialidade científica que visa a análise e investigação de redes de computadores para fins legais e forenses. O profissional forense é responsável por coletar, preservar e analisar dados e informações de rede para apoiar investigações criminais e civis.

Eles trabalham com uma variedade de tecnologias e protocolos, incluindo TCP/IP, Wi-Fi, Ethernet, entre outros, para identificar e compreender as atividades ocorridas em uma rede de computadores.

A interceptação telemática é uma técnica utilizada para capturar informações de comunicações eletrônicas. A interceptação telemática é comumente usada por agências governamentais e departamentos de investigação para investigar atividades criminais, incluindo terrorismo, tráfico de drogas e fraude. A interceptação telemática é regulamentada por leis nacionais e internacionais que visam proteger a privacidade e garantir o devido processo legal.

Fontes de vestígios cibernéticos em redes de computadores

Com o uso crescente das redes, também houve um aumento na ocorrência de atividades criminosas, como invasões de segurança e roubo de informações confidenciais. Nestes casos, os vestígios cibernéticos são fontes valiosas para a investigação e identificação dos responsáveis.

Os vestígios cibernéticos podem ser encontrados em vários locais em uma rede de computadores, Nunes (2016) diz que os diversos sistemas e equipamentos de uma rede podem  fornecer vestígios importantes ao perito, incluindo arquivos de log, cache de navegadores, registros de atividade de usuários e arquivos temporários. Além disso, as informações podem ser encontradas em dispositivos de armazenamento externos, como Roteadores, switches, discos rígidos, pen drives, entre outros.

Conforme Nunes (2016), a análise de tráfego é muito importante para determinar quais os protocolos estão em uso e a ligação destes com os equipamentos da rede, visualização de pacotes suspeitos, origem de ataques etc.

A análise de tráfego é uma ferramenta valiosa para garantir a segurança e a integridade dos dados em uma rede de computadores. Além disso, ela pode ajudar a otimizar a performance e melhorar a segurança da rede.

Os exames mais comuns em uma perícia em redes de computadores incluem:

• Análise de logs: A análise de logs de sistemas e aplicações é uma das primeiras etapas na investigação de um crime cibernético. Os logs podem fornecer informações sobre atividades suspeitas, como acessos não autorizados a sistemas ou dados.
• Análise de arquivos temporários: A análise de arquivos temporários, como cache de navegadores, pode fornecer informações sobre o histórico de navegação e atividades online do usuário.
• Análise de dispositivos de armazenamento: A análise de dispositivos de armazenamento, como discos rígidos e pen drives, pode fornecer informações sobre arquivos deletados ou ocultos.
• Detecção de ameaças: A análise de tráfego permite identificar ameaças como invasões de segurança, vírus, spyware e outros tipos de Malware. Isso ajuda a proteger a rede de computadores contra-ataques e a prevenir a perda de dados confidenciais.
• Análise de Malware: A análise de Malware pode ajudar a identificar e remover programas maliciosos ou vírus que possam estar afetando a rede de computadores.

Estes são apenas alguns dos exames mais comuns em uma perícia em redes de computadores. Cada caso é único e pode requerer uma abordagem diferente e outros exames adicionais para obter resultados precisos e conclusivos.

Análise de registro de logs e tráfego de redes de computadores.

            Nunes (2016) nos diz que é indispensável que o perito conheça os mais comuns registros de logs nas ações de defesa cibernética ou de caráter malicioso.

A análise de registro de logs e tráfego de redes de computadores é uma parte importante da segurança da informação. Os registros de logs são arquivos que registram atividades específicas em um sistema ou rede de computadores. Eles incluem informações como data, hora, tipo de evento e usuário que realizou a ação. A análise de registro de logs permite aos administradores de rede monitorar e identificar atividades suspeitas, como acessos não autorizados a sistemas ou dados.

Dependendo da aplicação, é necessário o conhecimento específico dos logs do registro em questão como, por exemplo, servidores web, servidores de banco de dados etc.

Além da análise de registro de logs, a análise de tráfego de rede também é importante para garantir a segurança da informação. O tráfego de rede é o fluxo de dados que circula em uma rede de computadores. A análise de tráfego permite aos administradores de rede monitorar o tipo de dados que estão sendo transmitidos na rede, identificando qualquer atividade suspeita ou anômala.

Os sniffers são ferramentas usadas para monitorar o tráfego de rede. Eles são capazes de capturar e analisar pacotes de dados que circulam na rede. Alguns dos sniffers mais comuns incluem o Wireshark, tcpdump ,entre outros.

O Wireshark é uma ferramenta de análise de tráfego de rede gratuita e de código aberto que permite aos administradores de rede capturar e analisar pacotes de dados. Entre as funções do Wireshark temos filtragem de pacotes, visualização de protocolos, análise de tráfego em tempo real e suporte a vários sistemas operacionais. Além disso, o Wireshark também possui uma comunidade ativa de desenvolvedores e usuários que contribuem para o desenvolvimento e melhoria da ferramenta.

 

 

 

Figura 5 – Tela do Wireshark

Fonte: Youtube[3]

O tcpdump é outro sniffer popular que permite aos administradores de rede capturar pacotes de dados e salvar as informações em um arquivo para análise posterior. Assim como o Wireshark, o TCPDump oferece suporte a vários filtros de expressão regular que permitem ao usuário capturar pacotes específicos com base em critérios como endereços IP, portas e protocolos. É uma ferramenta de linha de comando que é amplamente utilizada por administradores de rede, desenvolvedores e profissionais de segurança da informação.

Figura 6 – Tela do Tcpdump

Fonte: Internet[4]

De acordo com Nunes (2016), o alto volume de dados e a criptografia usada nos protocolos são os principais desafios encontrados durante os exames em redes de computadores.

Com o aumento da utilização da tecnologia e a dependência das redes para a vida cotidiana, o volume de tráfego de rede tem aumentado exponencialmente. Isso significa que os peritos digitais precisam ser capazes de processar e analisar rapidamente grandes quantidades de dados, identificar padrões e tendências relevantes e determinar se há alguma atividade suspeita.

Os peritos digitais precisam ser capazes de lidar com vários tipos diferentes de tecnologias e sistemas operacionais, pois muitas vezes precisam analisar redes que combinam várias plataformas diferentes.

7.          Capítulo 6 – Exames em imagens digitais

 

Para Arruda (2016), o crescimento da tecnologia tem permitido avanços significativos na área de perícias em imagens, com o avanço dos programas de edição de imagens e a popularidade dos dispositivos móveis, abriram-se muitas possibilidades, ponto fundamental para o avanço da área de perícias em imagens, proporcionando novas formas de investigar e resolver questões.

A expressão “Perícias em Imagens Digitais” se refere à análise forense de imagens digitais, incluindo a detecção de fraude ou montagens. Com o fácil acesso de hoje a aplicativos especializados de edição de imagens, a existência de imagens forjadas digitalmente está se tornando cada vez mais comum.  A facilidade de acesso a aplicativos de edição de imagens, como o Adobe Photoshop, tem levado ao aumento de imagens adulteradas digitalmente.

No entanto, a área de perícias em imagens digitais vai além da verificação de edições, incluindo a extração de informações relevantes em investigações policiais ou processos penais. As técnicas de perícia em imagens digitais também podem ser aplicadas em outras áreas de perícia criminal, como documentoscopia, balística e impressões digitais.

O estudo da análise forense de imagens digitais é interdisciplinar e inclui um universo mais amplo de aplicações em ciência forense. Para entender as técnicas utilizadas na perícia forense de imagens, é necessário conhecer o processo de criação de imagens digitais, armazená-las em dispositivos computacionais e o formalismo matemático que abrange as diversas áreas envolvidas.

O estudo voltado para a análise forense de imagens digitais é, portanto, interdisciplinar, envolvendo conceitos da neurofisiologia e da psicologia cognitiva, passando pela matemática, física, computação, estatística e eletrônica. e envolve conceitos de neurofisiologia, psicologia cognitiva, matemática, física, computação, estatística e eletrônica.

O crescente aumento de mídias armazenadas em nuvem, deve-se às câmeras digitais e se expandiu consideravelmente devido à popularização dos telefones celulares e smartphones com câmeras integradas.

Formatos de arquivos

Após gerada a imagem digital, ela deve ser gravada em alguma mídia de armazenamento que possui um sistema de arquivos que recebe o arquivo contendo a imagem digital. A maioria das imagens são produzidas em um formato que se popularizou nos anos 90: o JPEG.

Os métodos mais populares para compressão de imagens são baseados na família de algoritmos de compressão JPEG. O termo JPEG é um acrônimo para o Joint Photographic Experts Group, que também é o nome do comitê que padronizou esse formato. A padronização diz respeito à forma na qual a imagem deve ser comprimida e acomodada em uma sequência de bytes, bem como a maneira de reconstruí-la a partir dessa sequência. Por sua vez, o formato de arquivo que conterá a sequência de bytes é definido em outros padrões, sendo os mais populares o Exif e o JFIF.

A maioria das câmeras digitais armazenam as fotografias no formato Exif-JPEG, que define não só a forma de armazenamento do fluxo de bytes da imagem comprimida, como também outras informações relacionadas à câmera, denominadas de metadados. Estas informações podem ser confrontadas com aspectos inferidos na própria imagem. Há várias outras informações que podem ser extraídas do arquivo, além dos metadados, como por exemplo, as matrizes de quantização.

Outros formatos de arquivo

De acordo com Nunes(2016), diversos outros formatos de arquivo correspondem a apresentações de imagens bidimensionais em um modelo matricial.

O JPEG 2000 é um formato de compactação de imagem criado como uma melhoria no formato JPEG original. Oferece compactação com perdas e perdas e suporta recursos avançados, como transmissão progressiva e codificação de região de interesse. É comumente usado para fotos digitais e outras imagens de alta resolução. Uma das vantagens do JPEG 2000 é que ele oferece melhor compactação, mantendo alta qualidade de imagem.

BMP, abreviação de Bitmap, é um formato de arquivo de imagem usado para armazenar imagens digitais. O BMP é um formato de imagem raster, o que significa que é composto por pixels individuais organizados em uma grade. Esse formato foi originalmente desenvolvido para uso no sistema operacional Windows e ainda é amplamente utilizado hoje. BMP é um formato de imagem não compactado, o que significa que não é otimizado para o tamanho. Isso pode levar a tamanhos grandes de arquivos para imagens de alta resolução.

GIF, abreviação de Graphics Interchange Format, é um formato de imagem de bitmap que foi introduzido em 1987. É comumente usado para gráficos da web e é capaz de exibir até 256 cores. Os GIFs são particularmente adequados para imagens com paletas de cores limitadas, como gráficos ou ilustrações. Os GIFs também oferecem suporte à animação, o que os torna populares para uso em anúncios animados e animações curtas na web. No entanto, como os GIFs são limitados a 256 cores, eles não são adequados para exibir fotografias de alta qualidade.

PNG, abreviação de Portable Network Graphics, é um formato de imagem de bitmap que foi introduzido como uma alternativa gratuita e de código aberto ao GIF. O PNG suporta imagens coloridas e é capaz de exibir uma gama maior de cores que o GIF. Ele também suporta transparência, tornando-o útil para projetos que precisam se misturar em diferentes contextos. PNG é um formato de compactação sem perdas. Isso resulta em imagens de alta qualidade que mantêm sua qualidade original mesmo após serem compactadas.

O TIFF, abreviação de Tagged Image File Format, é um formato de arquivo de imagem flexível usado em vários aplicativos. O TIFF é um formato sem perdas, o que significa que nenhum dado é perdido durante a compactação e suporta uma ampla variedade de profundidades de cores e resoluções de imagem. O TIFF é comumente usado nas indústrias de impressão e publicação, bem como na fotografia digital. O TIFF também é frequentemente usado como um formato intermediário para edição de imagens, pois pode armazenar várias camadas e dados de diferentes fontes em um único arquivo.

Exames periciais em imagens digitais

A análise pericial tem início com a conferência e descrição do material recebido. As imagens são encaminhadas para algum suporte digital, como mídias óticas, cartões de memória e outros dispositivos de armazenamento. Os questionamentos elaborados sobre o material a ser periciado determinarão o tipo de exame a ser efetuado.

As análises de imagem na esfera criminal , geralmente relacionam-se com :

• Descrição da cena e dos fatos nela registrados;
• Identificação de indivíduos;
• Altura de suspeitos;
• Existência de manipulação de imagens;
• Imagens relacionadas a pornografia infantil;
• Confronto entre objetos;
• Estimação de velocidade de veículos;
• Identificação de equipamento que gerou a imagem.

Conforme Nunes (2016), o  exame de análise de conteúdo é de cunho genérico e requer do perito criminal o emprego de técnicas de processamento de imagens digitais, realçando ou demonstrando ações que sugerem a prática de infração penal, bem como auxiliar na identificação do autor da ação investigada.

A busca por imagens de pornografia ou sexo explícito envolvendo crianças e/ou adolescentes envolve, geralmente, a análise da mídia em busca de arquivos de imagens que podem, inclusive, estar apagados, ocultos ou criptografados.

O exame de comparação ou reconhecimento facial, apesar de empregar conceitos de anatomia facial e identificação humana, também requer o uso de ferramentas de processamento digital de imagens para demonstração de alguns dos resultados comparativos do exame, como extração de contornos e sobreposição de faces.

Detecção de edição ou montagem

Nos casos em que a informação em uma imagem é ocultada, como por exemplo, em imagens envolvendo pornografia infantil, geralmente se utiliza uma parte existente na própria imagem, que é replicada sobre a área a ser editada.

Várias ferramentas podem ser usadas para alterar a imagem, várias dessas ferramentas possuem características intrínsecas que podem deixar vestígios de sua aplicação em uma imagem. Por exemplo, o emprego da ferramenta de carimbo ou clonagem cria áreas na imagem que apresentam alto índice de correlação com as regiões que as originaram, sendo uma das características explora das por algoritmos de detecção automática.

Quando não se questiona uma região especifica da imagem, pode-se iniciar a análise por meio da observação direta, buscando identificar elementos da cena que aparentam estar fora de contexto ou que chamam a atenção por motivação perceptual.

O processo de formação de imagens digitais envolve a captura de luz ou outra radiação eletromagnética pela câmera ou scanner e a conversão desses dados em informações digitais que podem ser armazenadas em um computador.

A perícia em imagens digitais é a aplicação da ciência e da tecnologia para analisar, interpretar e validar imagens digitais como evidências em investigações criminais ou em processos legais e todos os anos novas técnicas e aplicações envolvendo imagens representadas por computador surgem e algumas dessas técnicas podem ser úteis em um cenário forense. Os assuntos relacionados à perícia digital de imagem não são exaustivos, e possuem uma extensa bibliografia existente.

8.          Capítulo 7 – Exames relacionados à pornografia infantil

Polastro e Eleutéio (2016) afirmam que pedofilia é um distúrbio de uma pessoa e não configura crime, por si só. Um pedófilo passa a ser um criminoso quando utiliza o corpo de uma criança ou adolescente para satisfação sexual. Pesquisas indicam que menos de 1% das pessoas diagnosticadas com pedofilia chegam a abusar sexualmente de crianças.

A violência sexual contra crianças pode acontecer em qualquer lugar, incluindo em casa, na escola e na comunidade. As vítimas podem sofrer consequências graves, como traumas emocionais, problemas de saúde mental e dificuldades na vida adulta, incluindo problemas de relacionamento e problemas de saúde física.

Com o avanço da tecnologia, principalmente a internet, a violência sexual contra crianças ganhou um grande impulso nas últimas décadas. Novas modalidades de violência sexual surgiram com esse crescimento tecnológico, como o grooming e o sexting, que são respectivamente, o assédio pela internet e a troca de fotos / vídeos de nudez, eróticos ou pornográficos pela internet.

Através de abordagens tradicionais ou virtuais, os abusadores de crianças geralmente agem de forma astuciosa e manipuladora para obter o controle sobre suas vítimas. Eles podem se aproximar de crianças e adolescentes de uma forma amigável e confiável, ganhando sua confiança e, eventualmente, abusando sexualmente delas. O abusador pode ser alguém conhecido da vítima, como um membro da família, amigo ou mentor, ou pode ser um estranho que se aproxima da vítima através de redes sociais ou na comunidade. Os abusadores de menores também podem usar táticas de ameaça e intimidade para manter o controle sobre suas vítimas e evitar que elas denunciem o abuso.

Eles podem ameaçar a segurança da vítima ou da família, ou fazer comentários depreciativos sobre a vítima para diminuir sua autoestima e auto-respeito. Além disso, eles podem usar recompensas, como presentes ou dinheiro, para manterem a vítima calada sobre o abuso.

Costumam agir de forma a não chamar atenção para suas ações. Eles podem ser hábeis em dissimular suas intenções e esconder o abuso de outras pessoas. Além disso, eles podem usar sua posição de poder e influência para convencer as vítimas de que não serão acreditadas se denunciarem o abuso.

Em resumo, a forma de atuação de um abusador de menores pode ser astuciosa e manipuladora, com o objetivo de obter o controle sobre suas vítimas e evitar que o abuso seja descoberto. É importante que os adultos estejam atentos a sinais de abuso e que as crianças saibam como se proteger e denunciar qualquer tipo de abuso. A sociedade precisa continuar a condenar o abuso de crianças e trabalhar junta para protegê-las e apoiá-las.

De acordo com o Protocolo Facultativo da Convenção sobre os Direitos da Criança, a pedofilia é considerada uma forma de violação dos direitos das crianças e é proibida pelo direito internacional. O protocolo exige que os Estados Partes adotem medidas para prevenir e combater a exploração sexual de crianças, incluindo a criminalização da pornografia infantil e da prostituição infantil. A lei também obriga os Estados Partes a proteger as crianças da violência sexual e a garantir que as vítimas recebam proteção e assistência adequadas.

Além disso, o protocolo requer que os Estados Partes tomem medidas para garantir que as vítimas de exploração sexual tenham acesso a justiça e possam testemunhar contra seus agressores em condições de segurança e sem medo de retaliação.

Técnicas computacionais para identificação de arquivos de pornografia infanto-juvenil.

Identificação de arquivos de pornografia infanto-juvenil é uma tarefa crítica na luta contra a exploração sexual de crianças. O uso de técnicas computacionais tem sido amplamente adotado para detectar e remover esses arquivos da internet.

Uma dessas técnicas é o reconhecimento de imagem, que utiliza algoritmos de aprendizado de máquina para analisar as imagens em busca de características específicas que são comuns aos arquivos de pornografia infanto-juvenil. Outra técnica é a análise de metadados, que utiliza informações sobre a origem, o tempo e o tamanho dos arquivos para identificar possíveis arquivos de pornografia infanto-juvenil. Isso pode incluir a verificação de informações como o nome do arquivo, o tipo de arquivo, o local onde o arquivo foi criado e o nome do usuário que o criou.

Além disso, existem técnicas baseadas em linguagem natural que utilizam processamento de linguagem natural e aprendizado de máquina para analisar o conteúdo textual associado aos arquivos de imagem, incluindo descrições de texto, hashtags e comentários. Essas técnicas podem ser usadas para identificar expressões e frases comuns que estão associadas a arquivos de pornografia infanto-juvenil.

Podem ser usadas para identificar arquivos de pornografia infanto-juvenil, várias técnicas, que incluem  reconhecimento de imagem, análise de metadados e técnicas baseadas em linguagem natural. Essas técnicas são importantes na luta contra a exploração sexual de crianças e ajudam a remover esse conteúdo da internet.

De acordo com Polastro e Eleutério (2016), o uso do hash criptográfico para identificar arquivos de pornografia infanto-juvenil é uma das principais técnicas usadas no mundo. O hash criptográfico é uma técnica de criptografia que permite criar uma assinatura digital única para um arquivo digital.  Esse hash é gerado a partir dos dados contidos no arquivo e é usado para identificá-lo de forma única.

Quando um arquivo é identificado como contendo pornografia infantil, o seu hash é adicionado a uma lista de hashes conhecidos, a fim de que outras entidades possam identificá-lo rapidamente. O uso do hash criptográfico é uma forma eficaz de combater a disseminação de pornografia infantil, pois permite que os dados sejam comparados rapidamente, sem a necessidade de examinar o conteúdo do arquivo. O sucesso dessa técnica está diretamente relacionado com o tamanho e qualidade da base de hashes.

Além disso, o hash é uma assinatura digital que não pode ser alterada sem que seja detectada. Isso significa que, se um arquivo é identificado como contendo pornografia infantil, ele sempre será identificado como tal, mesmo que tenha sido alterado ou distribuído com um novo nome. Desde que seja uma base de valores hash confiável, a taxa de acerto é de praticamente 100%.

Verificação dos nomes dos arquivos

Em 2009, um estudo realizado mapeou 26 palavras-chave mais utilizadas para buscar por arquivos de pornografia infanto-juvenil em programas de compartilhamento. Devido à rápida evolução da tecnologia e da criatividade dos criminosos que produzem e distribuem esse material, manter a lista de palavras-chave atualizada é um desafio constante. É necessário que as agências governamentais e organizações envolvidas na luta contra a pornografia infantil trabalhem em conjunto para manter a lista atualizada e eficaz. Isso inclui a monitorização contínua da internet, a coleta de dados e a análise de tendências para identificar novas expressões e palavras-chave que possam ser utilizadas para buscar esse tipo de conteúdo.

Além disso, é importante destacar que a utilização de palavras-chave não é a única técnica utilizada para identificar e combater a pornografia infantil. O uso de tecnologias avançadas, como inteligência artificial e aprendizado de máquina, também estão sendo utilizados para melhorar a eficácia e a eficiência da identificação desse tipo de conteúdo.

O combate à pornografia infantil é uma responsabilidade coletiva e requer ação contínua e constante de todas as partes interessadas.

Nos exames de laboratório para constatar pornografia infanto-juvenil, o que buscar varia de acordo com as perguntas feitas pelo solicitante do exame através de questões que visam verificar se a conduta do responsável pelo equipamento analisado se enquadra em algum artigo do Estatuto da Criança e do Adolescente. O exame pode buscar por arquivos específicos, imagens ou vídeos envolvendo crianças e adolescentes. Se o solicitante estiver procurando provas de que o responsável pelo equipamento consumiu pornografia infanto-juvenil, o exame pode buscar por históricos de navegação, arquivos temporários e outros indicadores.

Os exames de laboratório são conduzidos por especialistas em tecnologia da informação e forense digital que possuem a expertise e os recursos necessários para analisar equipamentos digitais em busca de provas relacionadas à pornografia infanto-juvenil.

Arquivos relacionados à pornografia infanto-juvenil são frequentemente compartilhados em diversos meios digitais, incluindo a utilização de redes peer-to-peer (P2P), serviços de armazenamento na nuvem e programas como o GigaTribe. Cada uma dessas formas de compartilhamento possui suas próprias vantagens e desvantagens, mas todas elas podem ser utilizadas para compartilhar arquivos ilegais e inapropriados.

As redes peer-to-peer (P2P) são uma das formas mais comuns de compartilhamento de arquivos. Essas redes permitem que os usuários compartilhem arquivos diretamente entre si, sem a necessidade de um servidor central. Isso pode ser uma vantagem, já que as redes P2P são frequentemente mais rápidas e confiáveis do que os serviços de armazenamento na nuvem. No entanto, as redes P2P também podem ser usadas para compartilhar arquivos ilegais e inapropriados, incluindo pornografia infanto-juvenil.

Outra forma de compartilhamento de arquivos é a utilização de serviços de armazenamento na nuvem. Esses serviços permitem que os usuários armazenem e compartilhem arquivos em servidores remotos, acessíveis a partir de qualquer lugar com conexão à internet. Isso pode ser uma vantagem para quem precisa acessar arquivos de forma remota, mas também pode ser usado para compartilhar arquivos ilegais e inapropriados.

O GigaTribe é um programa de compartilhamento de arquivos específico que permite que os usuários compartilhem arquivos entre si de forma segura e privada. Enquanto a maioria dos programas de compartilhamento de arquivos é aberta e pública, o GigaTribe oferece uma camada adicional de segurança e privacidade. No entanto, assim como as redes P2P e os serviços de armazenamento na nuvem, o GigaTribe também pode ser usado para compartilhar arquivos ilegais e inapropriados, incluindo pornografia infanto-juvenil.

A natureza anônima da Internet e o acesso a tecnologias de compartilhamento de arquivos facilitam o compartilhamento desses arquivos ilegais. Além disso, a facilidade de acesso a esses arquivos na Internet torna ainda mais importante a necessidade de combater esse crime.

Documentação dos resultados no laudo pericial.

O laudo pericial em um caso de pornografia infanto-juvenil é crucial para a investigação e para as ações legais que possam ser tomadas. O laudo deve incluir informações detalhadas sobre o processo de coleta de dados, o software utilizado, as etapas da análise e os resultados obtidos. Além disso, é importante que o perito explique de forma clara e objetiva as técnicas utilizadas para a identificação de arquivos relacionados à pornografia infanto-juvenil.

A documentação dos resultados também deve incluir evidências visuais, como prints de telas, imagens de arquivos encontrados e listas de arquivos identificados como ilegais. Tudo isso deve ser apresentado de forma organizada e de fácil compreensão, para que as autoridades possam avaliar rapidamente a existência de condutas criminosas. Além da documentação dos resultados, o laudo pericial também deve incluir conclusões e recomendações do perito. Essas conclusões devem ser baseadas nas evidências coletadas e nos padrões estabelecidos pela legislação. As recomendações do perito podem incluir a necessidade de novas investigações ou a realização de exames complementares.

Outro fator que deve estar presente no laudo é o hash dos arquivos. Com o falado anteriormente, o hash é uma representação digital única de um arquivo, que pode ser usada para identificar de forma precisa a existência de arquivos ilegais no equipamento examinado. Ao incluir o hash dos arquivos identificados como relacionados à pornografia infanto-juvenil no laudo, o perito pode comprovar de forma segura a existência dos arquivos no equipamento analisado. Além disso, o uso do hash permite a comparação com outras fontes de informação, como bancos de dados de referência, para confirmar a natureza ilegal dos arquivos.

É importante lembrar que o laudo pericial deve ser confiável e preciso, pois pode ser usado como prova em processos judiciais. Por isso, é fundamental que o perito tenha habilidade técnica, conhecimento jurídico e capacidade de análise crítica para elaborar um laudo completo e consistente.

Depois de concluir o laudo pericial de pornografia infanto-juvenil, é recomendável que o perito lacre o laudo e seus anexos em um envelope de segurança. O lacre é importante para garantir a integridade e a confidencialidade dos dados coletados e analisados durante o processo de perícia. O envelope de segurança é uma medida adicional de proteção para os dados contidos no laudo, pois impede a manipulação ou alteração dos dados após o término da perícia.

Com o advento da internet e das ferramentas de compartilhamento de arquivos, é muito fácil para os criminosos compartilharem e distribuírem material de natureza inadequada. A pornografia infanto-juvenil é uma forma perturbadora de exploração sexual, e a tecnologia tornou mais fácil para os criminosos produzir e distribuir esse material.

Por isso, é fundamental que as pessoas tomem medidas para se protegerem contra a pornografia infanto-juvenil, tais como monitorar o que os filhos estão acessando na internet, instalar softwares de segurança e ser ciente dos riscos envolvidos na utilização da tecnologia. Além disso, as autoridades precisam estar atentas e tomar medidas para combater esse crime, trazendo os responsáveis à justiça.

9.          Capítulo 8 – Exames em computação embarcada

Sanchez (2016), trata dos conceitos iniciais de computação embarcada e como estes sistemas apresentam enorme variedade de formas e funções. Os sistemas embarcados são dispositivos que incluem microcontroladores e outros componentes eletrônicos que permitem a realização de tarefas específicas. Eles estão presentes em uma ampla variedade de dispositivos, incluindo smartphones, computadores, veículos, eletrodomésticos, entre outros. Com o aumento da tecnologia e a demanda por dispositivos mais avançados, a importância dos sistemas embarcados tem crescido ao longo dos anos. Dado o papel crítico dos sistemas embarcados, é importante garantir que eles sejam seguros e confiáveis.

No entanto, ao mesmo tempo em que esses sistemas são valiosos, eles também apresentam riscos à segurança. Como resultado, é fundamental que as perícias digitais sejam adaptadas a esses sistemas, a fim de protegê-los contra ameaças e garantir sua integridade. Isso inclui a realização de investigações forenses em casos de mau uso ou violações de segurança.

A perícia digital em sistemas embarcados é uma área em constante evolução, e os peritos precisam estar atualizados com as últimas tecnologias e técnicas para realizar seu trabalho de maneira eficiente. Isso inclui compreender como esses sistemas funcionam, o que é armazenado neles e como seus dados podem ser recuperados.

Categorização dos sistemas embarcados

Conforme Sanchez (2016), um dispositivo é considerado embarcado quando o mesmo é dedicado a uma única tarefa e interage continuamente com o ambiente à sua volta. Suas principais características de classificação são sua capacidade computacional e sua independência de operação.

Os sistemas embarcados têm a vantagem de serem altamente personalizáveis, o que significa que eles podem ser projetados especificamente para atender às necessidades de uma aplicação específica. Isso resulta em soluções mais eficientes e menos dispendiosas do que as soluções baseadas em computadores convencionais. Além disso, os sistemas embarcados são projetados para funcionar em condições adversas, o que significa que eles são altamente confiáveis e capazes de funcionar por longos períodos sem interrupções.

Há uma distinção entre os conceitos de sistema embutido e embarcado , o que os distingue é o grau de dependência de sua arquitetura e implementação física com respeito ao ambiente que opera e atividade que realiza.

Um sistema integrado é uma solução completa que inclui hardware, software e serviços para resolver uma tarefa ou atender a uma necessidade específica. Os sistemas integrados são projetados para serem fáceis de usar e geralmente incluem uma interface de usuário intuitiva para ajudar os usuários a realizar tarefas específicas.

Por outro lado, um sistema embutido é um sistema que está incorporado a outro produto ou dispositivo. Os sistemas embutidos são projetados para fornecer uma funcionalidade específica e interagem continuamente com o ambiente ao seu redor. Eles são projetados para ser compactos, confiáveis e eficientes em termos de energia.

Sanchez (2016) nos diz que o número de sistemas eletrônicos em veículos tem crescido exponencialmente. O desenvolvimento de sistemas embarcados para veículos terrestres tem sido uma área de rápido crescimento, com a introdução de tecnologias avançadas, como a conectividade veículo-a-veículo e veículo-a-infraestrutura. Essas tecnologias permitem que os veículos se comuniquem uns com os outros e com infraestruturas, como semáforos, para melhorar a segurança e a eficiência do tráfego.

A evolução dos sistemas embarcados em veículos terrestres tem permitido a implementação de tecnologias avançadas de assistência ao condutor, como sistemas de frenagem automática, alerta de colisão, detecção de ponto cego, entre outros. Essas tecnologias visam melhorar a segurança do motorista e dos passageiros e ajudar a prevenir acidentes. Outro aspecto importante dos sistemas embarcados em veículos terrestres é a eficiência energética.

Com a crescente preocupação com questões ambientais e a alta demanda por veículos mais eficientes, os fabricantes estão trabalhando para desenvolver sistemas embarcados que permitam um melhor gerenciamento de energia e uma redução no consumo de combustível.

Exame pericial de sistemas embarcados é uma área especializada da perícia digital que se concentra na avaliação e análise de sistemas embarcados em dispositivos eletrônicos. Este tipo de exame é realizado em casos de litígios ou investigações criminais para determinar se os sistemas embarcados foram utilizados de forma inadequada ou para obter informações sobre o funcionamento de um dispositivo.

O processo de exame pericial de sistemas embarcados é complexo e requer muita habilidade técnica, conhecimento especializado e recursos avançados. O perito precisa ser capaz de compreender as complexidades do sistema embarcado, incluindo sua arquitetura, sistemas operacionais, software e hardware, bem como sua integração com outros sistemas. Uma das principais dificuldades enfrentadas durante o exame pericial de sistemas embarcados é o acesso aos dados armazenados no dispositivo. Isso pode ser complicado devido à proteção de privacidade, ao uso de criptografia, ou a outros obstáculos técnicos. O perito precisa ser capaz de superar esses desafios para garantir a integridade dos dados e evitar a perda ou corrupção de informações importantes.

Além disso, o perito precisa ser capaz de interpretar e avaliar os dados obtidos durante o exame para determinar seu significado e relevância para o caso.

10.        Capítulo 9 – Exames em equipamentos portáteis e telefonia móvel

Os equipamentos portáteis são dispositivos que podem ser transportados facilmente, como smartphones, tablets, laptops e outros dispositivos pessoais. Eles são projetados para serem usados fora do ambiente de trabalho ou casa, permitindo aos usuários realizarem tarefas como navegar na Internet, enviar mensagens de texto e e-mail, fazer chamadas telefônicas e assistir a vídeos em movimento. A combinação de equipamentos portáteis e telefonia móvel é um desenvolvimento importante na tecnologia da informação, pois permite aos usuários estarem conectados e produtivos a qualquer momento e em qualquer lugar.

De acordo com Vrubel e Grochocki (2016), podemos definir “equipamentos computacionais portáteis” como aqueles cujo armazenamento interno principal não é removível, tais como smarphones, tablets, PDA´s , etc. Sem dúvidas, o número mais expressivo dos equipamentos portáteis é constituído por aparelhos celulares e smartphones.

A telefonia móvel é a tecnologia que permite que as pessoas façam e recebam chamadas telefônicas a partir de dispositivos móveis, como smartphones. A popularidade da telefonia móvel tem aumentado rapidamente nos últimos anos, com mais e mais pessoas optando por usar smartphones em vez de telefones fixos tradicionais. A telefonia móvel oferece uma ampla gama de recursos, incluindo navegação na Internet, envio de mensagens de texto e e-mail, acesso às redes sociais e aplicativos de mensagens instantâneas.

Esta tecnologia surgiu na década de 80 e evoluiu muito desde então, tornando-se uma parte essencial da vida moderna. Funcionando através de redes de comunicação celular, que fornecem serviços de voz e dados aos seus usuários. A tecnologia utilizada nas redes móveis inclui tecnologias como 2G, 3G, 4G e 5G, cada uma com suas próprias características e capacidades. O uso da telefonia móvel tem crescido rapidamente ao longo dos anos, tornando-se uma das tecnologias mais utilizadas em todo o mundo.

A disponibilidade de dispositivos móveis acessíveis e de alta qualidade, bem como a ampla disponibilidade de serviços de internet móvel, contribuíram para o crescimento do setor.

Configurações dos equipamentos de telefonia móvel

Os aparelhos celulares se dividem em:

• os que não possuem cartão SIM;
• os que possuem cartões SIM.

O cartão SIM (Subscriber Identity Module) é uma pequena tarjeta de chip utilizada em dispositivos de telefonia móvel para armazenar informações importantes, como o número de telefone, o plano de serviço e os dados de autenticação da rede. O SIM é um componente crítico para o funcionamento dos equipamentos de telefonia móvel, pois permite a conexão à rede e a realização de chamadas e envio de mensagens. O uso de SIMs nos equipamentos de telefonia móvel tornou-se padrão mundial, sendo aceito por todas as principais redes e fabricantes de dispositivos. Isso permite aos usuários trocarem facilmente de operadoras e manterem seus números de telefone, mesmo quando mudam de dispositivo.

Além das informações básicas armazenadas no cartão SIM, algumas operadoras oferecem serviços adicionais, como o armazenamento de contatos e mensagens. Alguns dispositivos também permitem o uso de cartões SIM duplos, o que permite aos usuários utilizarem dois números de telefone em um único dispositivo. Em geral, o uso de SIMs é uma tecnologia confiável e fácil de usar, que tornou a comunicação móvel ainda mais fácil e acessível.

Isolamento, Coleta, Preservação e Transporte

Os equipamentos podem possuir vestígios interessantes para uma investigação. Vestígios físicos em investigação digital referem-se a qualquer evidência física encontrada em dispositivos digitais, como computadores, smartphones, discos rígidos etc. Estes vestígios podem incluir informações presentes no hardware, como marcas de uso, evidências de manipulação ou danos, e informações armazenadas em mídia, como arquivos, mensagens de e-mail, históricos de navegação etc.

A análise de vestígios físicos pode fornecer informações valiosas para investigações criminais ou de segurança cibernética. Os dados voláteis são informações que são perdidas quando o dispositivo é desligado, como dados em cache, memória RAM e dados em trânsito. Esses dados são coletados enquanto o dispositivo está ligado e em funcionamento.

Ambos os tipos de dados são importantes para investigações forenses e podem fornecer informações valiosas sobre o uso do dispositivo. No entanto, é importante seguir as leis e regulamentos locais relacionados à privacidade e proteção de dados durante o processo de coleta de informações.

Coleta de Informações

A coleta de informações é uma das etapas mais importantes na investigação digital. É a fase em que são coletados dados, comunicações e outras informações relevantes para a investigação. A coleta de informações pode ser realizada de diversas formas, incluindo a coleta de dados de dispositivos portáteis, como smartphones e laptops, a análise de mídia de armazenamento, como discos rígidos, e a monitoração de atividades on-line, como mensagens de e-mail e históricos de navegação, precisando ser realizada com cuidado para garantir que todas as evidências relevantes sejam preservadas e que não sejam violadas as leis de privacidade e direitos civis.

A equipe de investigação deve adotar medidas de segurança apropriadas, como criptografia e autenticação, para proteger os dados coletados e garantir sua integridade. Após a coleta dos equipamentos portáteis, é conveniente que a equipe de investigação solicite a senha de desbloqueio do aparelho. Isso permite que a equipe tenha acesso completo ao dispositivo e possa analisar todas as informações armazenadas nele, incluindo dados do sistema, arquivos, mensagens de texto, e-mails, históricos de navegação e outros dados relevantes para a investigação.

A equipe de investigação deve garantir que todas as evidências relevantes sejam preservadas e que as leis de privacidade e direitos civis, sejam respeitadas.

A extração de dados é o processo de recuperação de informações a partir de dispositivos digitais, como smartphones, laptops, discos rígidos etc. É uma técnica amplamente utilizada em investigações criminais, de segurança cibernética e para recuperação de dados. A extração de dados é importante porque pode fornecer informações valiosas que não estão disponíveis na superfície do dispositivo ou que foram excluídas intencionalmente.

A extração de dados em dispositivos móveis pode ser realizada de várias formas, dependendo do tipo de dispositivo, sistema operacional e configuração. Alguns dos tipos de extração de dados em dispositivos móveis incluem extração manual, física, extração lógica e extração avançada.

A extração manual consiste na constatação manual dos vestígios através da manipulação do aparelho em exame.

A extração física é a técnica mais invasiva de extração de dados e é geralmente realizada quando não é possível acessar os dados do dispositivo de outra forma. Nesta técnica, os dados são extraídos diretamente da memória do dispositivo, o que geralmente requer a remoção física do disco rígido ou da memória flash.

A extração lógica é menos invasiva e é realizada por meio do acesso lógico ao dispositivo, como usando o cabo USB para conectar o dispositivo a um computador. Esta técnica é capaz de recuperar dados, como arquivos, mensagens de texto, históricos de chamadas, e-mails, contatos, fotos, vídeos e outros tipos de dados.

A extração avançada de dados é um processo utilizado para recuperar informações de dispositivos móveis que não respondem a outros métodos de extração. Duas técnicas comuns de extração avançada são chip-off e micro leitura.

Na extração avançada, através da técnica  “Chip Off”, após removido o circuito de memória ele é lido bit a bit em equipamento apropriado. O chip-off é uma técnica de extração física que envolve remover o chip de memória do dispositivo móvel e ler diretamente os dados armazenados nele. Este método é utilizado quando o dispositivo móvel não pode ser acessado por outros métodos, como a extração lógica, devido a problemas de hardware ou software.

Micro leitura é uma técnica de extração física que envolve a leitura de dados diretamente da memória flash do dispositivo móvel. Esta técnica é utilizada quando o dispositivo móvel não pode ser acessado por outros métodos, como a extração lógica, devido a problemas de hardware ou software. A micro leitura é realizada por especialistas em laboratórios forenses devido à sua complexidade e ao risco de danificar o dispositivo.

A perícia em memória interna é realizada por peritos forenses especializados que utilizam ferramentas e técnicas especiais para recuperar informações a partir da memória interna do dispositivo móvel. Esses peritos são treinados para lidar com questões complexas, como a recuperação de dados apagados ou criptografados.  Além da memória interna, a perícia em cartões de memória também é uma parte importante da investigação digital.

Cartões de memória são usados ​​em muitos dispositivos móveis para expandir a capacidade de armazenamento. Eles são fáceis de remover e transportar, tornando-os alvos atraentes para criminosos que procuram roubar informações. A perícia em cartões de memória envolve a recuperação de informações a partir de cartões de memória removíveis. Dificilmente um processo de extração não passará por eventos inesperados, entre eles o mais comum é o bloqueio por senha do aparelho examinado.

Transformando vestígios em evidências

A transformação de vestígios em evidências é uma parte importante da investigação digital, pois permite que a equipe de investigação faça uma ligação clara entre os dados coletados e a questão em questão. Para isso, é necessário que sejam seguidos rigorosos protocolos de coleta, preservação e análise de dados. Uma das principais considerações é manter a integridade dos dados, garantindo que não sejam alterados ou corrompidos durante a coleta e análise.

Além disso, é importante documentar todas as etapas do processo, incluindo o equipamento usado, o software utilizado e o motivo pelo qual as escolhas foram feitas. Isso permite que o trabalho da equipe seja revisado e confirmado por outras partes interessadas, se necessário.

Segundo Vrubel e Grochocki (2016), o perito deve estar atento a indícios que possam estar ocultos por criptografia ou outras técnicas como a esteganografia, que passam desapercebidas por investigadores que não estejam familiarizados com essas técnicas. A transformação de vestígios em evidências é um processo minucioso que exige habilidade e atenção aos detalhes.

Seguindo rigorosos protocolos e usando as ferramentas e técnicas corretas, a equipe de investigação pode recuperar informações valiosas e produzir evidências sólidas para ajudar a resolver questões complexas.

Após toda a investigação concluída, a elaboração do laudo pericial objetiva documentar os itens examinados. A documentação dos resultados é uma parte importante da análise pericial, pois permite que a equipe de investigação apresente as informações coletadas de maneira clara e coerente e um dos principais meios de documentação é a geração do laudo, um relatório detalhado que apresenta os resultados da investigação e as conclusões da equipe de peritos.

O laudo deve incluir uma descrição completa do processo de investigação, incluindo a coleta de dados, a preservação de evidências, a análise de dados e a interpretação dos resultados. Além disso, o laudo deve documentar as ferramentas e métodos utilizados na investigação, bem como as etapas do processo e as razões pelas quais foram escolhidos. Isso permite que o trabalho do perito seja revisado e confirmado por outras partes.

Ao escrever o laudo, é importante levar em conta a linguagem utilizada, pois o documento pode ser lido por pessoas com diferentes níveis de conhecimento técnico. O perito deve procurar escrever de maneira clara e objetiva, evitando jargões técnicos e termos especializados que possam ser confusos para as partes interessadas, se necessário.

O uso de dispositivos móveis está cada vez mais intenso, isso  faz com que os peritos estejam sempre capacitados e atualizados para a elucidação de fatos delituosos.

11.       Capítulo 10 – Exames em computação na nuvem.

De acordo com Dantas (2016), graças à Amazon a computação em nuvem vem ganhando cada vez mais espaço e, a partir de então, enquanto alguns duvidavam do seu sucesso , gigantes da tecnologia como Google, IBM e outros defendem as vantagens da nuvem.

A Amazon, como líder do mercado de computação em nuvem, tem desempenhado um papel fundamental na popularização desse modelo. Além de oferecer soluções robustas e escaláveis, a Amazon tem investido em pesquisa e desenvolvimento para expandir a funcionalidade de sua plataforma, oferecendo novos serviços e tecnologias para os seus clientes e tem sido uma forte influência na forma como as empresas pensam sobre computação e armazenamento de dados, e sua liderança no mercado tem sido um fator importante na evolução da computação em nuvem.

Computação na nuvem é um modelo de computação em que recursos de hardware, como servidores, armazenamento e aplicativos, são fornecidos aos usuários através da Internet. Isso permite que os usuários acessem e usem os recursos sem precisar gerenciá-los localmente. A nuvem oferece escalabilidade, flexibilidade e acessibilidade, pois permite que os usuários acessem recursos adicionais quando necessários sem precisar fazer investimentos significativos em hardware e software.

Computação em nuvem e forense computacional

Para o National Institute of Standards and Technology (NIST), em documento publicado em 2011,  “Computação em nuvem é um modelo que possibilita acesso de modo conveniente e sob demanda a um conjunto de recursos computacionais configuráveis”. (apud Dantas, 2016. p. 542).

O NIST define as características da computação em nuvem como seguintes:

• Prestação de serviços sob demanda: os recursos de computação são fornecidos como serviços, sem a necessidade de investimento em hardware ou software próprio.
• Escalabilidade e acessibilidade: os recursos de computação são acessíveis de qualquer lugar com acesso à Internet e podem ser escalados conforme as necessidades mudam.
• Compartilhamento de recursos: os recursos de computação são compartilhados entre vários usuários, o que maximiza a utilização da infraestrutura e reduz o custo para cada usuário individual.
• Gerenciamento e monitoramento: os provedores de nuvem são responsáveis por gerenciar e monitorar os recursos de computação, incluindo a segurança, backup e manutenção.
• Elasticidade: os recursos de computação são alocados e desalocados dinamicamente, permitindo que a nuvem se adapte às mudanças nas demandas de computação.

Estas características tornam a computação em nuvem uma solução atraente para as empresas, que podem obter acesso a recursos de computação de alta capacidade de forma rápida, escalável e econômica.

Segundo o NIST, os três modelos de serviços na nuvem são : IaaS, PaaS e SaaS. Conforme demonstrado na ilustração abaixo:

Figura 7- Modelos de serviço na nuvem

Fonte: Internet.[5]

• No SaaS, o consumidor é fornecido com o uso de aplicações do fornecedor executando em uma infraestrutura na nuvem. Essas aplicações podem ser acessadas por meio de interfaces leves ou ricas, como um navegador web, e o consumidor não tem controle sobre a infraestrutura subjacente.
• No PaaS, o consumidor é fornecido com a capacidade de instalar aplicativos criados ou adquiridos por ele na infraestrutura na nuvem. O consumidor não controla a infraestrutura subjacente, mas tem controle sobre as aplicações instaladas e possivelmente configurações do ambiente de hospedagem.
• No IaaS, o consumidor é fornecido com recursos básicos de computação, como processamento, armazenamento, comunicação de rede, e pode instalar e executar seus próprios softwares. O consumidor tem controle sobre os sistemas operacionais, armazenamento, aplicativos, e possivelmente componentes limitados de rede.

De um modo geral, os três tipos de serviços de computação na nuvem diferem na quantidade de controle e gerenciamento que o consumidor tem sobre a infraestrutura e aplicações subjacentes. O SaaS fornece aplicações prontas para uso, o PaaS fornece plataforma para o desenvolvimento de aplicativos, e o IaaS fornece recursos básicos de computação para o consumidor instalar e executar seus próprios softwares.

A computação em nuvem é uma tecnologia que permite acesso a recursos de computação remotos através da internet. Ela é oferecida em diferentes modelos, incluindo nuvem privada, comunitária, pública e híbrida.

A nuvem privada é provisionada para uso exclusivo por uma única organização, que pode ser de propriedade, gerenciamento e operação da organização, de terceiros ou uma combinação mista. Ela pode estar dentro ou fora das instalações da organização.

Conforme Dantas (2016), certas organizações segmentam o uso de determinados recursos no seu ambiente de computação em nuvem podendo usar diferentes implantações conforme o grau de compartilhamento de informações:

• Nuvem privada é provisionada para uso exclusivo por uma única organização, que pode ser de propriedade, gerenciamento e operação da organização, de terceiros ou uma combinação mista. Ela pode estar dentro ou fora das instalações da organização.
• Nuvem comunitária é provisionada para uso exclusivo por uma determinada comunidade de consumidores de organizações com interesses em comum. Ela pode ser de propriedade, gerenciamento e operação de uma ou mais organizações da comunidade, de terceiros ou uma combinação mista.
• Nuvem pública é provisionada para uso aberto ao público em geral, sendo de propriedade, gerenciamento e operação de uma empresa, instituição acadêmica, organização do governo ou combinação mista. Ela fica nas instalações do fornecedor.
• Nuvem híbrida é uma combinação de duas ou mais infraestruturas na nuvem, que são interligadas por tecnologia padronizada ou proprietária, permitindo a comunicação de dados e portabilidade de aplicações. Ela pode incluir nuvens privadas, comunitárias ou públicas.

Principais provedores de computação em nuvem

            A computação em nuvem é fornecida por vários provedores, cada um com suas próprias características distintas. Alguns dos principais provedores incluem Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP).

A Amazon Web Services (AWS) é amplamente considerada como a líder do mercado de computação em nuvem. Com uma ampla gama de serviços, como armazenamento em nuvem, processamento em larga escala e análise de dados, a AWS é usada por muitas empresas e organizações em todo o mundo. A AWS possui um portfólio de serviços bem vasto, fazendo uma consulta ao site da empresa[6] podemos conhecer serviços diversos , tais como :

• Armazenamento em nuvem: AWS oferece uma variedade de opções de armazenamento em nuvem, incluindo o Amazon Simple Storage Service (S3), o Amazon Elastic Block Store (EBS) e o Amazon Glacier.
• Computação em nuvem: AWS oferece uma ampla variedade de opções de computação em nuvem, incluindo o Amazon Elastic Compute Cloud (EC2), o Amazon Elastic Container Service (ECS) e o Amazon Lambda.
• Banco de dados: AWS oferece uma ampla variedade de opções de banco de dados, incluindo o Amazon Relational Database Service (RDS), o Amazon DynamoDB e o Amazon Redshift.
• Análise de dados: AWS oferece várias opções de análise de dados, incluindo o Amazon QuickSight, o Amazon Athena e o Amazon Redshift.
• Desenvolvimento e implantação: AWS oferece vários serviços para ajudar na implantação de aplicativos, incluindo o Amazon Elastic Beanstalk, o AWS CloudFormation e o AWS CodeDeploy.

O Microsoft Azure é outro provedor popular de computação em nuvem, especialmente para aqueles que já usam outros produtos da Microsoft, como o Windows Server e o Office. Além disso, o Azure oferece integração com outras ferramentas de nuvem, como o Power BI para análise de dados e o Active Directory para gerenciamento de identidade. Alguns dos principais serviços providos pela Microsoft Azure incluem:

• Armazenamento em nuvem: Oferece opções flexíveis e escaláveis de armazenamento de dados, incluindo Blob Storage, File Storage e Disk Storage.
• Análise de dados: Permite análise em larga escala de dados com o Power BI e o Azure Stream Analytics.
• Desenvolvimento e implantação de aplicativos: Oferece uma ampla gama de ferramentas e serviços de desenvolvimento de aplicativos, incluindo a plataforma de nuvem PaaS (Platform as a Service) e a ferramenta de implantação de aplicativos Azure DevOps.
• Segurança e conformidade: Oferece opções avançadas de segurança e conformidade, incluindo o Azure Active Directory, o Azure Information Protection e o Azure Key Vault.
• Internet das coisas (IoT): Permite a conexão e a gestão de dispositivos IoT com o Azure IoT Hub e o Azure IoT Edge.
• Aprendizado de máquina e inteligência artificial: Oferece recursos avançados de aprendizado de máquina e inteligência artificial, incluindo o Azure Cognitive Services e o Azure Machine Learning.

De acordo com Google[7], o Google Cloud Platform (GCP) é uma opção para empresas que desejam soluções de nuvem altamente escaláveis e personalizáveis. O GCP também oferece uma ampla gama de serviços, incluindo análise de dados, armazenamento em nuvem e inteligência artificial, auxiliando desenvolvedores a disponibilizarem suas aplicações para serem executadas em máquinas virtuais.

Alguns dos serviços fornecidos pela Google Cloud Platform incluem:

• Compute Engine – máquinas virtuais e instâncias de computação escaláveis.
• Kubernetes Engine – gerenciamento de contêineres de aplicativos.
• App Engine – plataforma para desenvolvimento e implantação de aplicativos na nuvem.
• Cloud Storage – armazenamento de objetos na nuvem.
• Cloud SQL – banco de dados relacional gerenciado na nuvem.
• BigQuery – análise de dados em larga escala.
• Cloud Dataflow – processamento de fluxo de dados e análise de dados em larga escala.
• Cloud Pub/Sub – serviço de mensagens assíncronas para aplicativos na nuvem.
• Cloud Functions – execução de código em resposta a eventos na nuvem.
• Stackdriver – monitoramento, depuração e gerenciamento de aplicativos na nuvem.

O IBM Cloud também é uma escolha popular para empresas que buscam uma combinação de serviços de nuvem com soluções de inteligência artificial e análise de dados. Além disso, a IBM tem uma forte presença global, o que a torna uma opção atraente para empresas com operações em vários países.

Cada um destes principais provedores de computação em nuvem oferece suas próprias características únicas, e a escolha do melhor para uma empresa dependerá de suas necessidades específicas e objetivos de negócios.

A computação forense e seus desafios na computação em nuvem.

            Dantas (2016), nos diz que as pesquisas em Computação Forense vem se estruturando para prover e fomentar a comunidade pericial de novas soluções, técnicas e métodos investigativos. A nuvem constitui-se de um ambiente sujeito a vários cenários que podem ameaçar a segurança da aplicação ou serviços nela hospedados.

Devido à sua tecnologia em rápida expansão a computação forense em nuvem está se tornando cada vez mais importante para ajudar a resolver questões legais e de segurança de dados. No entanto, há muitos desafios na computação forense em nuvem, incluindo:

• Acesso às evidências: Uma das maiores dificuldades na computação forense em nuvem é ter acesso às evidências devido às restrições de segurança e privacidade impostas pelos provedores de nuvem. A falta de acesso direto às evidências pode prejudicar a capacidade de um investigador de realizar uma análise completa.
• Padrões heterogêneos: Diferentes provedores de nuvem usam diferentes tecnologias, o que pode tornar difícil para os investigadores trabalhar com evidências de diferentes fontes. Além disso, as diferenças nos formatos de arquivo e nos métodos de armazenamento podem tornar a análise de dados difícil.
• Fraude e manipulação de dados: Na nuvem, as evidências podem ser facilmente manipuladas ou excluídas, o que torna a tarefa de investigação mais difícil. Além disso, os criminosos também podem usar a nuvem para ocultar sua atividade ilícita, o que pode dificultar a descoberta de evidências.
• Escalabilidade: A nuvem permite o armazenamento de grandes quantidades de dados, o que pode tornar a coleta de evidências um processo desafiador e demorado. Além disso, a quantidade de dados também pode tornar a análise de dados uma tarefa impossível sem a utilização de ferramentas de análise de grande escala.
• Conhecimento técnico: Realizar uma investigação forense em nuvem exige conhecimento técnico avançado em computação, armazenamento de dados e segurança da informação. É importante que os investigadores tenham conhecimento especializado para compreender os desafios e as limitações da investigação forense em nuvem.

A perícia computacional em nuvem é uma especialização que se concentra no uso de serviços de nuvem para realizar análises forenses em sistemas e dispositivos conectados à internet. É uma ferramenta valiosa para investigações criminais e civis, incluindo casos de fraude, invasão de privacidade e outras violações de segurança cibernética.

Exames em computação em nuvem

Dantas (2016) afirma que inúmeros são os benefícios trazidos pela computação em nuvem, em contrapartida, no aspecto relacionado à Computação Forense, surgiram inúmeros desafios. A investigação de incidentes em ambiente de nuvem é um deles.

O NIST (National Institute of Standards and Technology) define a computação forense como uma aplicação da ciência que trata do processo de coleta, preservação, análise e apresentação de evidências digitais e um rigoroso controle da cadeia de custódia e isso inclui o uso de técnicas e ferramentas em um ambiente forense para fins de investigação e/ou litígio. Os assuntos tratados pelo NIST são aplicados ao ambiente de computação em nuvem. No entanto, grande parte dos estudos relacionados a exames forenses em ambientes de nuvem ainda estão no campo teórico e com carência de procedimentos melhor definidos para tratar o isolamento , coleta e análise de evidências.

A virtualização é um conceito que tem sido utilizado há décadas em tecnologia da informação e se tornou ainda mais importante com o surgimento da computação em nuvem, permitindo a criação de ambientes virtuais que imitam o comportamento de sistemas físicos.

É construída através de um hypervisor, também conhecido como “software de virtualização”. O hypervisor é responsável por criar e gerenciar os ambientes virtuais e fornecer recursos de hardware virtuais para as máquinas virtuais. O hypervisor é instalado diretamente no hardware físico e funciona como uma camada intermediária entre o sistema operacional e o hardware, sendo a peça-chave para a construção da virtualização, pois é responsável por criar e gerenciar os ambientes virtuais, alocar recursos de hardware e garantir a segurança desses ambientes.

Casos envolvendo ambientes de computação em nuvem.

Sempre que ligamos a TV e nos deparamos com um evento envolvendo assuntos de segurança da informação que envolvem uma grande população, geralmente temos a computação em nuvem como vítima de ataques que expõem milhões de pessoas. Nos últimos anos tivemos vários incidentes envolvendo a computação em nuvem, entre eles:

• Vulnerabilidade na nuvem da Capital One (2019) – De acordo com Harán (2019) , um hacker invadiu a nuvem da Capital One em 2019 e roubou informações pessoais de mais de 100 milhões de clientes, incluindo números de cartão de crédito, endereços e informações de crédito. A Capital One utiliza a nuvem da Amazon Web Services (AWS) para armazenar seus dados.
• Sequestro de dados da rede Sony: Conforme Dantas (2016), os dados de mais de cem milhões de clientes foram comprometidos. Depois do incidente, algumas empresas estão repensando seus planos de adotar sistemas computacionais baseados na nuvem.

Estes são apenas alguns exemplos de incidentes recentes que envolveram computação em nuvem.

Dantas (2016), nos diz que um levantamento da Cloud Security Alliance, organização que representa o setor global da computação em nuvem, indica que empresas de fora dos Estados Unidos começam a se afastar de provedores americanos.

12.        Capítulo 11 – Exames em detecção de intrusão

A exploração de vulnerabilidades é uma técnica utilizada por invasores para obter acesso não autorizado a sistemas, redes e dispositivos. Este processo envolve a identificação de falhas ou erros no software, hardware ou configurações dos dispositivos, que podem ser explorados para ganhar acesso ou realizar atividades maliciosas, como a instalação de Malware, a coleta de informações confidenciais ou a interrupção dos serviços.

Santos e Barcelos (2016) apresentam neste capítulo conceitos relativos a detecção de intrusões, vulnerabilidades, casos reais, ferramentas e análise de evidências em investigações de incidentes.

Incidentes de segurança podem ser originados de centenas de sistemas comprometidos, de vérias regiões do mundo , por isso a detecção de intrusão é um processo crucial na segurança de sistemas, redes e dispositivos. Ela envolve a monitoração constante de atividades nos dispositivos e a identificação de comportamentos anômalos ou atividades maliciosas, como invasões, tentativas de roubo de dados ou outras ameaças à segurança.

A detecção de intrusão pode ser realizada por meio de várias técnicas, como o monitoramento de logs de sistemas, o uso de soluções de segurança como firewalls e sistemas de detecção de intrusão (IDS) ou a implantação de soluções de segurança avançadas, como sistemas de detecção de intrusão avançados (IPS).

Sistemas de Detecção de Intrusão

            De acordo com Santos e Barcelos (2016), os sistemas de detecção de intrusão ou IDS (Intrusion Detection Systems – IDS) são dispositivos em hardware, software ou a combinação de ambos, que monitoram atividades não autorizadas relacionadas à rede ou sistema em busca de atividades não autorizadas.

Os sistemas de detecção de intrusão (IDS) baseados em rede monitoram o tráfego de rede em busca de padrões anômalos ou comportamentos maliciosos. Eles são colocados em pontos estratégicos de uma rede, como roteadores ou firewalls, e são capazes de detectar ataques externos, como invasões ou tentativas de roubo de dados. Os IDS baseados em rede usam técnicas como análise de protocolo, assinatura de Malware e inteligência artificial para detectar ameaças à segurança

Já os sistemas de detecção de intrusão baseados em host monitoram atividades em um dispositivo individual, como um servidor ou computador. Eles são instalados no próprio dispositivo e monitoram as atividades de software e sistema para identificar comportamentos anômalos ou maliciosos, como a instalação de Malware ou a realização de ações maliciosas pelo usuário.

Os IDS baseados em host são úteis para proteger dispositivos individuais e para detectar ataques que podem ter passado despercebidos por medidas de segurança baseadas em rede. Também são úteis para monitorar atividades de usuários internos, para garantir a segurança dos dados da empresa.

Modelo Conceitual

Conforme Santos e Barcelos (2016), o modelo CIDF (Common Intrusion Detection Framework) é um modelo aberto para sistemas de detecção de intrusão que define uma estrutura comum para sistemas de detecção de intrusão. Foi proposto para especificar um grupo de componentes que definem uma ferramenta de IDS. São eles:

• Gerador de eventos – cria os eventos a partir do monitoramento do ambiente (E-boxes).
• Analisador de eventos – Recebe informações, realiza análises e envia os resultados para outros componentes. (A-boxes)
• Base de dados de eventos – Armazena eventos e resultados processados. (D-boxes)
• Unidade de resposta. – Responsável pels ações. (R-boxes)

Metodologias de detecção

            As metodologias de detecção de intrusão podem ser classificadas em duas categorias principais: baseadas em padrões e baseadas em assinaturas.

1. Metodologias baseadas em padrões: Essas metodologias se concentram em identificar comportamentos anômalos ou suspeitos no sistema ou na rede. Elas usam algoritmos de aprendizado de máquina para analisar grandes quantidades de dados e identificar padrões de comportamento que não são comuns no ambiente normal. Se um comportamento anômalo é identificado, é gerada uma alerta para que a equipe de segurança possa investigar mais a fundo.
2. Metodologias baseadas em assinaturas: Essas metodologias são baseadas em uma lista pré-definida de assinaturas de ameaças conhecidas. Elas usam um banco de dados de assinaturas para comparar as atividades no sistema ou na rede com as assinaturas de ameaças conhecidas. Se uma assinatura de ameaça é encontrada, é gerada uma alerta para que a equipe de segurança possa investigar mais a fundo.

Ambas as metodologias têm suas vantagens e desvantagens, e muitas vezes são usadas em conjunto para fornecer uma defesa mais completa contra ameaças à segurança.

Intrusões

Santos e Barcelos(2016) afirmam que HIDS, ou Host-Based Intrusion Detection System, é uma tecnologia de segurança usada para proteger computadores e redes de ataques cibernéticos. Ao contrário dos sistemas de detecção de intrusões baseados em rede (NIDS), que monitoram o tráfego de rede em busca de atividades suspeitas, o HIDS é instalado em cada host ou servidor individual e monitora a atividade local do sistema.

O HIDS é capaz de detectar uma ampla variedade de ameaças, como Malware, exploits, tentativas de invasão e atividades maliciosas realizadas por usuários internos. Ele usa uma variedade de técnicas para detectar comportamentos anormais, incluindo análise de log, detecção de anomalias de sistema, monitoramento de arquivos e pastas e análise de tráfego de rede local.

Uma das principais vantagens do HIDS é que ele fornece uma visibilidade mais profunda do sistema, permitindo que as equipes de segurança identifiquem e resolvam rapidamente as ameaças.

Além disso, o HIDS pode ser usado em conjunto com outras ferramentas de segurança, como firewalls e antivírus, para fornecer uma camada adicional de defesa contra ameaças cibernéticas. No entanto, o HIDS pode ser mais difícil de gerenciar e manter do que outras soluções de segurança, pois requer a instalação de software em cada host individual.

Ferramentas

Algumas das ferramentas HIDS mais comuns incluem:

• OSSEC: Um HIDS de código aberto que detecta e responde a atividades maliciosas em tempo real. Ele pode monitorar arquivos de log, integridade de arquivo, registros de eventos do sistema e atividades de rede.
• Tripwire: Um HIDS comercial que monitora mudanças em arquivos e diretórios, identificando quaisquer alterações não autorizadas. Ele usa a criptografia para proteger as informações de configuração do sistema.
• SELinux: Uma extensão do sistema operacional Linux que fornece políticas de segurança aprimoradas. Ele usa controle de acesso obrigatório para limitar o acesso de usuários e processos a recursos do sistema.
• AIDE: Outro HIDS de código aberto que monitora alterações em arquivos e diretórios. Ele pode detectar violações de integridade de arquivo e ajuda a identificar atividades maliciosas.
• Samhain: Um HIDS de código aberto que monitora atividades de arquivos, diretórios, processos e rede. Ele também pode verificar a integridade do sistema e alertar sobre possíveis violações de segurança.

Essas são apenas algumas das muitas ferramentas HIDS disponíveis. Cada uma tem suas próprias vantagens e desvantagens, e é importante escolher a ferramenta certa com base nas necessidades específicas de segurança da sua organização.

De acordo com Santos e Barcelos (2016), muitas perguntas devem ser respondidas em um exame forense de detecção de intrusão em uma rede de computadores. Aqui estão algumas das principais perguntas que devem ser respondidas:

• Quando ocorreu a violação? Determinar o momento exato em que o ataque aconteceu é importante para entender o escopo da invasão e identificar as atividades maliciosas.
• Como o ataque foi realizado? Identificar o vetor de ataque e o método utilizado pelo invasor pode ajudar a identificar vulnerabilidades em potencial na rede ou em outros sistemas semelhantes.
• Que dados foram afetados? Identificar quais dados foram comprometidos e que sistemas foram acessados pode ajudar a avaliar o impacto da violação e identificar quais informações podem ter sido expostas.
• Quais usuários ou sistemas foram afetados? Determinar quem ou o que foi afetado pelo ataque pode ajudar a identificar quais usuários precisam ser notificados e que sistemas devem ser isolados ou desativados.
• Qual foi a extensão do dano causado? Identificar a gravidade da violação de segurança pode ajudar a determinar a urgência da resposta, como se deve notificar as autoridades e se é necessário implementar ações de mitigação adicionais.
  • Quais medidas de segurança estavam em vigor antes do ataque? Avaliar as medidas de segurança em vigor antes do ataque pode ajudar a identificar pontos fracos na segurança da rede e orientar a implementação de melhorias para evitar futuras violações.

Responder a essas perguntas pode ajudar a equipe de resposta a incidentes a conduzir uma investigação eficaz e completa. Ao examinar a rede, a equipe pode identificar a origem do ataque, corrigir as vulnerabilidades expostas e implementar medidas de segurança adicionais para proteger a rede contra futuras ameaças.

Técnicas utilizadas em ataques de intrusão

                           Santos e Barcelos (2016) nos traz o host sweep e o port scan como técnicas para coletar informações visando enumerar os hosts e procurar os potenciais alvos. O Host Sweep e o Port Scan são técnicas utilizadas em testes de segurança para detectar dispositivos ativos e portas abertas em uma rede. O Host Sweep é uma técnica que visa identificar quais hosts estão ativos em uma rede, por meio do envio de pacotes de requisição ICMP (Internet Control Message Protocol) ou ARP (Address Resolution Protocol). Essa técnica é útil para mapear a topologia da rede e identificar possíveis alvos para ataques mais específicos.

Já o Port Scan é uma técnica que consiste em identificar quais portas estão abertas em um dispositivo, por meio do envio de pacotes de requisição a diferentes portas do dispositivo. Essa técnica permite identificar quais serviços e protocolos estão disponíveis em um dispositivo, possibilitando identificar possíveis vulnerabilidades que possam ser exploradas por um invasor. Existem diversos tipos de Port Scan, como o TCP SYN Scan, o UDP Scan e o TCP Connect Scan, cada um com suas particularidades e limitações.

Existem sistemas e técnicas usadas para proteção de dados da rede, tais como firewall, criptografia, Redes Privadas Virtuais, IDS e IPS e outros. A proteção de dados é um aspecto crítico na segurança de redes, e existem diversas tecnologias e técnicas que podem ser usadas para proteger os dados em trânsito ou armazenados em uma rede. A seguir, algumas das tecnologias mais comuns usadas para proteção de dados da rede:

• Firewall: é um dispositivo que controla o tráfego de rede com base em regras definidas pelo administrador de rede. O firewall pode bloquear ou permitir o tráfego de entrada e saída da rede com base em critérios como endereço IP, protocolo e porta. Os firewalls são amplamente usados para proteger redes contra ataques maliciosos e para controlar o acesso à rede. Algumas ameaças nem sempre são detectadas pelo firewall, worms, vírus , ataques de negação de serviço se utilizam de portas padrões de serviços existentes na rede.

 

• Criptografia: é o processo de codificar informações para que elas só possam ser lidas por pessoas autorizadas. A criptografia é amplamente usada para proteger dados confidenciais, como senhas, informações bancárias e de cartão de crédito. A criptografia pode ser aplicada a dados em trânsito (por exemplo, através de uma conexão SSL/TLS) ou a dados armazenados (por exemplo, em um disco rígido criptografado).

 

• Redes Privadas Virtuais (VPNs): permitem que usuários remotos acessem a rede de uma empresa ou organização de forma segura e privada. Uma VPN cria uma conexão criptografada entre o computador do usuário e a rede da empresa, permitindo que o usuário acesse os recursos da rede de forma segura e privada.

• IDS e IPS: sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) são usados para identificar e responder a possíveis ameaças na rede. Um IDS monitora o tráfego da rede e alerta o administrador de rede sobre atividades suspeitas, enquanto um IPS pode bloquear automaticamente o tráfego malicioso. Os sistemas de IDS são compostos por sensores que geram eventos de segurança, um console para monitorar eventos e alertas e um mecanismo central para gravar os eventos registrados pelo sensor na base de dados.

Algumas das vantagens e desvantagens desse tipo de sistema são:

Vantagens:

• Cobertura abrangente: o IDS baseado em rede pode monitorar todo o tráfego de rede que passa por ele, independentemente do sistema operacional ou do software usado nos computadores da rede. Isso significa que ele pode detectar atividades maliciosas que outros sistemas de segurança podem não ser capazes de detectar.
• Detecção em tempo real: o IDS baseado em rede pode detectar atividades maliciosas em tempo real, permitindo que o administrador de rede responda rapidamente e minimize o impacto de uma violação de segurança.
• Configuração centralizada: um IDS baseado em rede pode ser configurado centralmente, permitindo que o administrador de rede defina políticas de segurança consistentes em toda a rede.
• Escalabilidade: um IDS baseado em rede pode ser implantado em redes de qualquer tamanho, desde pequenas empresas até grandes organizações.

Desvantagens:

• Falsos positivos: o IDS baseado em rede pode identificar atividades benignas como atividades maliciosas, o que pode levar a falsos positivos. Isso pode ser um problema se o administrador de rede não tiver tempo ou recursos para investigar cada alerta de segurança.
• Dependência de assinaturas: o IDS baseado em rede depende de assinaturas de ataques conhecidos para detectar atividades maliciosas. Isso significa que ele pode não detectar ataques novos ou desconhecidos.
• Dificuldade em detectar atividades encriptadas: o IDS baseado em rede pode ter dificuldade em detectar atividades maliciosas em tráfego encriptado, o que é cada vez mais comum.
• Necessidade de constante atualização: assim como qualquer sistema de segurança, o IDS baseado em rede precisa ser atualizado constantemente para se manter eficaz contra as ameaças mais recentes.

Existem várias ferramentas IDS disponíveis no mercado, entre elas temos:

• Snort: O Snort é um NIDS de código aberto e um dos mais populares do mercado. Ele é altamente configurável e pode ser personalizado para atender às necessidades específicas de uma rede. O Snort utiliza regras para analisar o tráfego de rede e alertar os administradores sobre atividades suspeitas.
• ACID: O Analysis Console for Intrusion Databases (ACID) é uma ferramenta de análise baseada em PHP que permite pesquisar e processar eventos de segurança gerados por IDSes, firewalls e outras ferramentas de monitoramento de rede. A ferramenta possui recursos de gerenciamento de alertas, permitindo que os alertas sejam agrupados logicamente para criar incidentes, excluídos, exportados para e-mail para colaboração ou arquivados para transferência entre bancos de dados de alertas. Além disso, o ACID possui capacidade de geração de gráficos e estatísticas com base em diversos parâmetros, como tempo, sensor, assinatura, protocolo, endereço IP e portas TCP/UDP.

 

• NetDetector é uma ferramenta de NIDS baseada em assinatura que utiliza técnicas de análise de tráfego para detectar e bloquear ameaças de segurança. A ferramenta possui uma arquitetura distribuída que permite a implantação em redes de grande porte, como ISPs, data centers e grandes empresas. O NetDetector pode identificar ameaças em tempo real, incluindo ataques de DDoS, exploits de vulnerabilidades conhecidas e ataques de negação de serviço.

Dispositivos móveis.

            De acordo com SANTOS e BARCELOS (2016), os dispositivos de computação móvel, como tablets e celulares, tornaram-se muito populares nos últimos anos e as vendas desses aparelhos têm aumentado significativamente, sendo que mais de 90% dos celulares vendidos em 2015 no Brasil foram smarphones.

Esses aparelhos apresentam grande parte das funcionalidades de um computador pessoal, como navegação na internet, acesso a e-mails e internet banking. Assim como um computador tradicional, podem ser utilizados para a prática de atividades maliciosas, com possibilidade de serem utilizados para disparar ataques na internet por meio de botnets. Embora a capacidade de armazenamento e processamento desses dispositivos este/jam aumentando consideravelmente, eles ainda apresentam limitações quando comparados a microcomputadores, principalmente em questões relacionadas à proteção contra Malwares, como a instalação de firewall, antivirus, sistema de detecção de intrusão,spyware e outros.

A principal forma desse ataque é o envio de mensagens com informações publicitárias ou com oferecimento de benefícios, usualmente com links para aplicativos maliciosos que,uma vez instalados, poderão executar diversas ações não autorizadas, como enviar mensagens para outros números ou, até mesmo, realizar ataques de negação de serviço via SMS. Como exemplo desse tipo de ação é possível citar o Malware do tipo Trojan SMS AndroidOS.FakePlayer, que foi muito utilizado para atacar celulares.

Tratando-se de análises periciais em dispositivos móveis , é necessário observar todos os cuidados relativos à Cadeia de Custódia. Ao realizar uma análise pericial em dispositivos móveis, é importante seguir uma série de diretrizes estabelecidas para preservar a integridade da evidência digital. Ao cumprir essas diretrizes e garantir a integridade da cadeia de custódia, pode-se aumentar a probabilidade de sucesso da análise pericial e da admissibilidade da evidência em um processo judicial.

Nuvem e Soluções para detecção de intrusão em Computação em Nuvem.

A computação em nuvem é uma tecnologia que permite que os usuários acessem, armazenem e processem dados e aplicativos remotamente, através de uma rede de servidores compartilhados. Embora a computação em nuvem ofereça muitas vantagens, como a escalabilidade e a flexibilidade, ela também pode apresentar riscos de segurança cibernética. Os ataques de intrusão em computação em nuvem são uma preocupação crescente para as organizações, uma vez que um único incidente pode resultar na perda de informações confidenciais de muitos usuários. Para lidar com esse desafio, existem soluções de detecção de intrusão em nuvem, que permitem detectar, analisar e responder a ameaças de segurança em tempo real.

A computação em nuvem tem aumentado consideravelmente nos ultimos anos. Segundo Santos e Barcelos (2016), a maior parte dos ataques feitos contra essa arquitetura são conhecidos e utilizados contra arquiteturas cliente-servidor. As soluções de detecção de intrusão em computação em nuvem têm como objetivo proteger os recursos da nuvem, incluindo os dados, as aplicações e as infraestruturas, contra ameaças de segurança cibernética. Essas soluções podem usar uma variedade de técnicas para identificar possíveis ameaças, incluindo análise de comportamento, correlação de eventos e detecção de vulnerabilidades. Além disso, as soluções de detecção de intrusão em nuvem podem fornecer alertas em tempo real e notificações de ameaças, para que os usuários possam responder rapidamente e mitigar os riscos de segurança.

Para que as soluções de detecção de intrusão em nuvem sejam eficazes, é necessário que elas sejam implementadas corretamente e estejam em conformidade com as políticas e normas de segurança da organização. Ao implementar soluções de detecção de intrusão em nuvem de forma adequada e consistente, as organizações podem proteger seus recursos na nuvem contra ameaças de segurança cibernética e garantir a continuidade de suas operações.

Um outro aspecto importante a ser tratado é a segurança de Informação em ambientes de virtualização. Algumas considerações sobre segurança em ambientes de virtualização:

• Isolamento de rede e dados: A virtualização pode permitir que múltiplos sistemas operacionais compartilhem a mesma infraestrutura física. Isso pode aumentar o risco de vazamento de informações confidenciais se os sistemas não estiverem adequadamente isolados uns dos outros.
• Gerenciamento de patches e atualizações: As máquinas virtuais e o software de virtualização precisam ser mantidos atualizados com os patches e atualizações mais recentes de segurança. A virtualização pode criar uma superfície de ataque maior, já que um único servidor físico pode hospedar várias máquinas virtuais, cada uma com seu próprio sistema operacional e aplicativos.
• Autenticação e controle de acesso: A autenticação e o controle de acesso devem ser aplicados em todos os níveis, desde a autenticação do usuário na máquina virtual até o controle de acesso ao ambiente de virtualização em si. As organizações devem implementar medidas para garantir que apenas usuários autorizados tenham acesso aos sistemas virtuais, e que a autenticação seja forte o suficiente para evitar o acesso não autorizado.

Coleta inicial de dados em investigações.

A coleta inicial de dados em investigações é um passo fundamental para a obtenção de informações relevantes e confiáveis. Existem diversas técnicas e metodologias para realizar essa coleta de dados, e a escolha da abordagem apropriada dependerá do tipo de investigação em questão.

É recomendável que se faça um checklist a ser seguido na coleta inicial dos fatos. Um checklist pode ajudar a manter a organização da investigação garantindo que cada detalhe seja coletado de maneira consistente. Checklists podem ser alterados e adaptados de acordo com o que o perito ache importante para a investigação.

Questões sobre o resumo do incidente e detecção do incidente podem ser elaboradas para ser incluídas em um checklist para a coleta inicial de informações sobre o resumo e a detecção de um incidente. Tais como:

• O que aconteceu exatamente e quando ocorreu?
• O incidente foi relatado por alguém ou descoberto durante uma verificação de rotina?
• Quais sistemas ou equipamentos foram afetados pelo incidente?
• O incidente causou danos físicos ou financeiros? Se sim, qual é a extensão desses danos?
• Como o incidente foi detectado? Foi através de um sistema de monitoramento ou de um relatório de um usuário?
• Qual foi a fonte da detecção do incidente? (por exemplo, log do sistema, monitoramento de rede, relatório de usuário etc.)
• Qual foi o tempo entre a ocorrência do incidente e sua detecção?
• O incidente já havia ocorrido anteriormente? Se sim, houve alguma mudança na natureza do incidente ou em sua gravidade?

É importante lembrar que cada investigação pode exigir questões adicionais específicas, dependendo da natureza do incidente e das informações necessárias para conduzir a investigação de forma completa e eficaz.

Coleta de Dados

            Dados voláteis são informações que desaparecem da memória RAM do dispositivo quando ele é desligado ou reiniciado. Por isso, é importante que a coleta de dados voláteis seja realizada com cuidado e seguindo as boas práticas, para garantir que as informações coletadas sejam confiáveis e utilizáveis em uma investigação.

Aqui estão algumas boas práticas para a coleta de dados voláteis em um aparelho:

• Minimize as atividades no dispositivo: Ao coletar dados voláteis, é importante reduzir a quantidade de atividades no dispositivo, para evitar que dados relevantes sejam sobrescritos ou perdidos. Assim, a primeira ação a ser tomada é suspender todas as atividades que estiverem ocorrendo no dispositivo, incluindo a desconexão de dispositivos externos, como pendrives, para evitar que arquivos sejam gravados ou alterados.
• Utilize ferramentas adequadas: É importante utilizar ferramentas especializadas para a coleta de dados voláteis, como software de captura de imagem de memória, pois estas ferramentas podem coletar informações de forma mais precisa e segura do que um técnico que tente coletar os dados manualmente.
• Utilize hardware adequado: Para evitar a perda de dados voláteis, é necessário que o hardware utilizado para a coleta de dados seja adequado e compatível com o dispositivo em questão. Um hardware mal escolhido ou incompatível pode causar a perda de informações relevantes.
• Documente todo o processo: Para garantir a integridade dos dados coletados, é importante que todo o processo de coleta seja documentado com o máximo de detalhes possível. Isso inclui as ferramentas e hardware utilizados, a data e hora da coleta, as atividades realizadas durante a coleta e quaisquer problemas encontrados durante o processo.
• Mantenha a cadeia de custódia: Para garantir a admissibilidade dos dados coletados em um processo judicial, é importante que a cadeia de custódia seja mantida. Isso significa que todos os detalhes do processo de coleta devem ser registrados e documentados, desde o momento em que os dados voláteis são coletados até o momento em que são apresentados em um tribunal.

Segundo Santos e Barcelos (2016), as invasões de sistemas têm crescido substancialmente e registros de invasões são notados diariamente em toda a internet. Há uma série de desafios que podem surgir durante o exame pericial, especialmente se a invasão não foi detectada imediatamente ou se as medidas de segurança do sistema não estavam devidamente implementadas.

Alguns dos principais desafios incluem:

1. Identificação do escopo da invasão: Um dos primeiros desafios é identificar o escopo da invasão, ou seja, o número de sistemas e dispositivos que foram comprometidos pelo invasor. Isso pode ser particularmente difícil se o invasor usou técnicas avançadas de ocultação, como a injeção de código malicioso em processos legítimos do sistema.
2. Identificação dos dados comprometidos: Outro desafio é identificar quais dados foram comprometidos pelo invasor, especialmente se eles foram excluídos ou modificados. Em alguns casos, o invasor pode ter usado técnicas de criptografia para esconder ou codificar os dados comprometidos, o que torna a identificação ainda mais difícil.
3. Identificação do invasor: Identificar a pessoa ou grupo responsável pela invasão pode ser um grande desafio. Os invasores geralmente usam técnicas de ocultação, como a utilização de proxies ou redes virtuais privadas (VPNs), para esconder sua verdadeira localização ou identidade. Além disso, muitas vezes o invasor pode ser um indivíduo ou grupo que está localizado em outro país, o que torna a identificação ainda mais difícil.
4. Análise de logs e rastreamento de atividades: Para identificar a origem da invasão e as atividades realizadas pelo invasor, é necessário analisar os logs de sistema e rastrear as atividades que ocorreram durante o ataque. Isso pode ser difícil se o invasor souber como apagar ou modificar os logs, ou se o sistema invadido não estiver configurado corretamente para coletar informações relevantes.
5. Coleta de evidências: Para garantir a admissibilidade das evidências em um processo judicial, é necessário coletar e preservar as evidências de forma adequada, seguindo as normas estabelecidas pela jurisprudência. Isso inclui manter a cadeia de custódia, documentar todas as atividades e decisões tomadas durante o exame pericial e assegurar que todas as evidências estejam armazenadas de forma segura e protegidas contra modificações.

Em um mundo cada vez mais conectado, as invasões em sistemas computacionais representam um grande desafio para a segurança digital, pois podem comprometer a integridade dos dados, a privacidade dos usuários e a continuidade das operações de uma empresa.

Alguns dos principais desafios durante o exame pericial, incluem:

• Identificação do escopo da invasão;
• Identificar os dados comprometidos;
• Identificar o invasor;
• Analisar logs e rastrear atividades;
• Coletar evidências.

Em resumo, a realização de um exame pericial após uma invasão em um sistema computacional pode ser bastante desafiadora, principalmente devido à complexidade das técnicas utilizadas pelos invasores e à necessidade de coletar e preservar evidências de forma adequada. Por isso, é fundamental contar com profissionais especializados em segurança digital e exames periciais para conduzir o processo.

13.        Capítulo 12 – Exames em Malwares

Neste capítulo, Barão e Vilar (2016) nos traz conceitos fundamentais sobre análise de Malwares para profissionais da área, com ferramentas e técnicas que ajudarão na análise das atividades desempenhadas por programas maliciosos.

Bandhary (2018), conceitua Malwares como um código que executa ações maliciosas; ele pode tomar a forma de um executável, script, código ou qualquer outro software. Atacantes usam Malware para roubar informações sensíveis, espionar o sistema infectado ou tomar controle do sistema. Tipicamente, ele entra no seu sistema sem o seu consentimento e pode ser entregue por meio de vários canais de comunicação, como e-mail, web ou unidades USB.

De acordo com Barão e Vilar (2016), a principal motivação por trás da criação de Malwares é a obtenção de recursos financeiros. Malwares podem ser usados para gerar lucros para os criminosos cibernéticos de diversas maneiras, incluindo a realização de fraudes bancárias, roubo de informações de cartões de crédito e criptomoedas, além de chantagem e extorsão. De acordo com um relatório da McAfee, uma empresa de segurança cibernética, o custo total de danos causados por Malwares em todo o mundo em 2020 foi estimado em US$ 1 trilhão, com a maioria dos danos sendo causados por ataques de ransomware.

Os Malwares usam uma variedade de técnicas para infectar dispositivos e sistemas. Alguns dos métodos mais comuns incluem:

1. Engenharia social: os Malwares frequentemente usam táticas de engenharia social, como phishing e engenharia social reversa, para persuadir os usuários a instalar o software malicioso ou clicar em links infectados. Isso pode incluir emails de phishing que parecem ser legítimos, mensagens de texto ou pop-ups falsos.
2. Exploits de software: os Malwares também podem se aproveitar de vulnerabilidades em software e sistemas operacionais para se infiltrar em dispositivos. Isso pode incluir explorar vulnerabilidades não corrigidas em softwares comuns, como navegadores da web e programas de edição de documentos.
3. Downloads de software infectado: os usuários podem baixar Malwares sem saber ao instalar aplicativos de fontes não confiáveis, como lojas de aplicativos não oficiais ou sites de download de software.

Classes de Malwares

            Bandhary(2018), nos diz que “ Malware é um termo amplo que se refere a diferentes tipos de programas maliciosos, como cavalos de Troia, vírus, worms e rootkits.”

Alguns desses programas maliciosos são categorizados com base em sua funcionalidade e vetores de ataque, como mencionado aqui:

• Vírus ou Worm: Malware capaz de se copiar e se espalhar para outros computadores. Um vírus precisa da intervenção do usuário, enquanto um worm pode se espalhar sem intervenção do usuário.
• Cavalo de Troia: Malware que se disfarça como um programa normal para enganar os usuários e fazê-los instalá-lo em seus sistemas. Uma vez instalado, ele pode executar ações maliciosas, como roubar dados confidenciais, enviar arquivos para o servidor do atacante ou monitorar webcams.
• Backdoor / Remote Access Trojan (RAT): Este é um tipo de Trojan que permite ao atacante acessar e executar comandos no sistema comprometido.
• Adware: Malware que apresenta anúncios indesejados (anúncios) ao usuário. Eles geralmente são entregues por meio de downloads gratuitos e podem instalar software à força em seu sistema.
• Botnet: Este é um grupo de computadores infectados com Malware (chamados de bots), aguardando instruções do servidor de controle comandado pelo atacante. O atacante pode, então, emitir um comando para esses bots, que podem executar atividades maliciosas, como ataques DDOS ou enviar e-mails de spam.
• Roubo de informações: Malware projetado para roubar dados confidenciais, como credenciais bancárias ou teclas digitadas do sistema infectado. Alguns exemplos desses programas maliciosos incluem keyloggers, spyware, sniffers e form grabbers.
• Ransomware: Malware que mantém o sistema como refém, bloqueando os usuários de seus computadores ou criptografando seus arquivos.
• Rootkit: Malware que fornece ao atacante acesso privilegiado ao sistema infectado e oculta sua presença ou a presença de outros softwares.

Análise de malware no contexto pericial

            De acordo com Barão e Vilar(2016), “o objetivo principal de uma análise de malware no contexto criminal é responder aos quesitos constantes na solicitação do laudo.”

Coletar evidências digitais para determinar a natureza e o escopo de um ataque cibernético. A análise de malware é realizada com a finalidade de determinar como o malware entrou em um sistema, quais os arquivos afetados, quais ações foram realizadas pelo malware e quais os dados foram exfiltrados. Essas informações podem ser usadas para identificar os responsáveis pelo ataque, bem como para tomar medidas para mitigar o dano causado pelo malware.

A análise de malware em um contexto pericial envolve a coleta de informações técnicas sobre o malware, incluindo sua funcionalidade, características e propriedades. Isso geralmente é feito por meio da desmontagem do código do malware e da realização de testes em um ambiente controlado. A análise de malware também pode envolver a análise forense do sistema afetado, a fim de identificar quaisquer outras atividades maliciosas que possam ter ocorrido.

Tipos de análise

            Bandhary(2018) nos diz que , para entender o funcionamento e as características do malware e avaliar seu impacto no sistema, você frequentemente utiliza diferentes técnicas de análise.

A seguir, apresentamos a classificação dessas técnicas de análise:

Análise estática: este é o processo de analisar um binário sem executá-lo. É mais fácil de executar e permite extrair os metadados associados ao binário suspeito. A análise estática pode não revelar todas as informações necessárias, mas às vezes pode fornecer informações interessantes que ajudam a determinar onde focar os esforços de análise subsequentes.

Análise dinâmica (Análise comportamental): este é o processo de executar o binário suspeito em um ambiente isolado e monitorar seu comportamento. Essa técnica de análise é fácil de executar e fornece informações valiosas sobre a atividade do binário durante a execução. Essa técnica de análise é útil, mas não revela todas as funcionalidades do programa hostil.

Análise de código: é uma técnica avançada que se concentra na análise do código para entender o funcionamento interno do binário. Essa técnica revela informações que não são possíveis de determinar apenas com análise estática e dinâmica. A análise de código é dividida em análise de código estática e análise de código dinâmica.

A análise de código estática envolve a desmontagem do binário suspeito e a análise do código para entender o comportamento do programa, enquanto a análise de código dinâmica envolve a depuração do binário suspeito de maneira controlada para entender sua funcionalidade. A análise de código requer uma compreensão da linguagem de programação e dos conceitos do sistema operacional.

Procedimentos recomendados em ambientes virtuais.

Alguns procedimentos são recomendados com relação ao uso de máquinas virtuais para a análise de malwares. A maior preocupação com relação a procedimentos utilizando máquina virtual é evitar que o malware tenha acesso a qualquer parte do ambiente físico.

As recomendações a serem indicadas antes da execução do programa em análise, são:

• Manter o software de virtualização atualizado;
• Desabilitar todos os dispositivos removíveis na máquina virtual;
• Arquivos e ferramentas necessários para a análise já devem estar presentes na máquina virtual antes da execução do software suspeito;
• Não instalar antivírus na máquina virtual ou desabilitar suas funções;
• Desabilitar todos os dispositivos de rede da máquina virtual;
• Habilitar o acesso à internet somente depois de avaliar o comportamento do malware e os riscos da operação;
• Criar um snapshot da máquina virtual após instalado o sistema operacional e as ferramentas de análise.

Process Explorer e Process Monitor

            O Process Explorer e o Process Monitor são duas ferramentas úteis na análise de malwares. O Process Explorer é uma ferramenta avançada de gerenciamento de processos que exibe informações detalhadas sobre os processos em execução no sistema. Ele é útil na análise de malwares, pois pode mostrar processos suspeitos que estão sendo executados no sistema.

O Process Explorer também pode exibir informações sobre as DLLs (bibliotecas dinâmicas) carregadas pelos processos, permitindo que o analista de malware identifique possíveis componentes maliciosos. O Process Monitor é uma ferramenta que permite monitorar as atividades do sistema em tempo real. Ele pode ser usado para identificar as atividades maliciosas realizadas por um malware, como alterações no registro do sistema, criação de novos arquivos, tentativas de conexão à internet, entre outras coisas. O Process Monitor também permite filtrar as informações para mostrar apenas as atividades relacionadas a um processo específico, tornando-o ideal para analisar um malware específico.

A análise de malwares é um processo complexo que envolve a identificação, extração e análise de amostras de malwares. Essa análise permite que o perito digital identifique o tipo de malware, seu comportamento, suas capacidades e seu impacto no sistema. Essas informações são cruciais para a compreensão do incidente em questão e para a tomada de medidas apropriadas para mitigar o dano causado pelo malware.

É importante lembrar que a análise de malwares é um processo técnico complexo e que requer habilidades e conhecimentos especializados. Além disso, o perito digital precisa estar ciente das leis e regulamentações aplicáveis ​​à coleta e análise de evidências digitais para garantir que seu trabalho seja legalmente válido e aceitável em tribunais.

14.        Capítulo 13 – Exames em dados criptografados.

Segundo Kuppens (2016), o emprego de criptografia forte é fundamental para manter recursos como a confidencialidade de documentos, comércio eletrônico , entre outros.

Dados criptografados são aqueles que foram codificados de tal forma que só podem ser lidos ou decodificados por alguém com acesso à chave de criptografia correta. A criptografia é usada para proteger informações confidenciais, como senhas, informações financeiras e segredos comerciais, e é uma medida importante de segurança em muitos sistemas de informação, geralmente realizada por algoritmos de criptografia, que codificam os dados em um formato que só pode ser revertido por alguém que possua a chave de decriptografia correta.

A criptografia é uma forma eficaz de proteger informações confidenciais, mas é importante lembrar que, se as chaves de criptografia forem comprometidas, os dados podem ser expostos. Por esse motivo, é fundamental gerenciar cuidadosamente as chaves de criptografia e usar padrões de criptografia seguros para proteger as informações sensíveis.

Conceitos de Criptografia

            A criptografia é um conjunto de técnicas que visam proteger informações sensíveis, tornando-as ilegíveis para pessoas não autorizadas. O principal objetivo da criptografia é garantir a confidencialidade dos dados. Essa técnica é aplicada em diversas áreas, como segurança da informação, comunicações e transações financeiras.

Na criptografia, os dados são transformados em um formato que é impossível de ser lido por alguém que não tenha a chave de decodificação. Esse processo é chamado de cifragem, e o resultado é conhecido como texto cifrado. Quando o destinatário correto recebe o texto cifrado, ele pode decifrá-lo usando a chave de decodificação, para obter os dados originais. Esse processo é chamado de decifragem.

A criptografia é essencial para a segurança dos dados armazenados em mídias de armazenamento, como discos rígidos, pendrives e cartões de memória. Sem criptografia, esses dados estariam expostos a qualquer pessoa que tivesse acesso físico à mídia. Com a criptografia, mesmo que a mídia seja perdida ou roubada, os dados ainda estarão protegidos. Por isso, é importante que empresas e indivíduos adotem técnicas de criptografia para proteger suas informações sensíveis.

A nomenclatura utilizada será a seguinte:

• Texto Cifrado: É o resultado da aplicação de um algoritmo de criptografia sobre um texto em claro, tornando-o ilegível para quem não possua a chave de decodificação. O texto cifrado é geralmente composto por caracteres aleatórios e é impossível de ser entendido sem a chave.
• Texto em Claro: É o texto original, que será criptografado para se tornar o texto cifrado. É o conteúdo que o remetente deseja proteger de olhos não autorizados.
• Cifra: é um conjunto de procedimentos matemáticos e lógicos que transforma um texto original em um texto cifrado. O objetivo da cifra é proteger o conteúdo da mensagem contra o acesso não autorizado. A cifra é uma técnica muito antiga e tem sido usada por governos, militares, empresas e indivíduos para proteger informações importantes.
• Cifragem: É o processo de criptografar o texto em claro utilizando a chave de cifra, transformando-o em texto cifrado. Esse processo é realizado por meio de um algoritmo de criptografia, que segue uma série de regras para garantir que o texto cifrado seja seguro e impossível de ser decifrado por quem não possui a chave. A cifragem é um processo importante para garantir a segurança das informações, especialmente aquelas que são confidenciais ou sensíveis.

Como detectar dados criptografados

            Segundo Franco, Vilar, et al. (2016), “o primeiro desafio ao se lidar com dados criptografados é encontrá-los”. A localização dos dados criptografados pode ser um desafio, especialmente em sistemas complexos com vários dispositivos e aplicativos. Para encontrar dados criptografados, é necessário identificar quais sistemas, aplicativos e dispositivos são responsáveis pelo armazenamento e processamento desses dados.

Dados criptografados podem ocorrer em três configurações: arquivos criptografados, discos virtuais criptografados e discos completamente criptografados.

Arquivos criptografados: Só o conteúdo do arquivo encontra-se criptografado. a assinatura e os metadados do arquivo intactos. Isso significa que, mesmo que o arquivo tenha sido criptografado, é possível identificar o tipo de arquivo, o nome, o tamanho e outras informações que fazem parte dos metadados do arquivo. A criptografia de arquivos geralmente é realizada por meio de um aplicativo especializado que utiliza algoritmos criptográficos para proteger o conteúdo do arquivo. O aplicativo pode exigir que o usuário forneça uma senha ou chave de criptografia para acessar o conteúdo do arquivo criptografado. Uma vez que a chave correta é fornecida, o aplicativo descriptografa o conteúdo do arquivo, permitindo que o usuário o acesse e o utilize normalmente.

Discos virtuais criptografados: são um tipo de tecnologia de armazenamento que utiliza criptografia para proteger os dados armazenados em um arquivo-contêiner. Esses discos virtuais funcionam como um arquivo único que contém todos os dados que serão armazenados, criptografados de forma segura. Para acessar os dados contidos no disco virtual, é necessário fornecer uma senha ou chave de criptografia, que será usada para descriptografar o conteúdo do disco.

Os discos virtuais criptografados oferecem uma camada adicional de segurança para os dados armazenados, já que eles são protegidos por criptografia de ponta a ponta. Isso significa que mesmo que alguém obtenha acesso ao arquivo do disco virtual, ele não poderá acessar o conteúdo sem a senha ou chave de criptografia correta. Várias ferramentas podem criar arquivos contêineres, entre elas temos:

• TrueCrypt: O TrueCrypt foi um software livre de criptografia de disco popular que permitia aos usuários criptografar partições ou discos inteiros. Ele usava criptografia AES, Twofish ou Serpent para proteger dados. No entanto, em 2014, os desenvolvedores do TrueCrypt descontinuaram o software, citando preocupações com a segurança, de acordo com o site oficial.[8]
• O Apple Disk Image é um formato de imagem de disco usado em sistemas operacionais macOS. Ele pode ser usado para criar um arquivo que atua como um disco virtual. Os usuários podem criptografar o conteúdo do disco virtual com AES de 128 ou 256 bits.
• O LUKS [9] é uma ferramenta de criptografia de disco de código aberto usada em sistemas operacionais Linux. Ele permite que os usuários criptografem partições ou discos inteiros usando criptografia AES, Twofish ou Serpent. O LUKS também suporta várias chaves de desbloqueio, permitindo que vários usuários acessem o mesmo disco criptografado com suas próprias chaves de desbloqueio.

Discos completamente criptografados: Das situações encontradas, a mais preocupante é quando um perito encontra um disco totalmente criptografado. Nessa situação, todo o conteúdo do disco , incluindo o sistema operacional. Além disso, se o disco foi criptografado por uma pessoa com intenções maliciosas, o conteúdo do disco pode representar uma ameaça significativa à segurança, privacidade ou propriedade intelectual. Portanto, a recuperação de dados em discos completamente criptografados requer uma abordagem cuidadosa e métodos avançados de análise e decodificação de criptografia.

Métodos para decifragem de dados

De acordo com Kuppens (2016), são várias as técnicas para tratar dados criptografados. É uma tarefa difícil e muitas vezes requer conhecimentos especializados em criptografia e engenharia reversa. Existem diferentes métodos que podem ser usados para decifrar dados criptografados, dependendo do tipo de criptografia utilizada e das circunstâncias envolvidas. Alguns dos métodos mais comuns são:

1. Ataque de força bruta: este método envolve a tentativa de todas as possíveis combinações de chaves de criptografia até que a chave correta seja encontrada. Esse método pode ser eficaz para criptografias mais simples, mas é geralmente inviável para criptografias mais avançadas, devido ao grande número de combinações possíveis.
2. Ataques de dicionário: esse método envolve a tentativa de todas as palavras e combinações de palavras conhecidas para encontrar a chave correta. Esse método é mais eficaz quando a criptografia utiliza senhas fracas ou palavras comuns como chaves.
3. Ataque de texto claro: este método envolve a tentativa de encontrar padrões no texto claro (texto sem criptografia) que possam ser usados para adivinhar a chave de criptografia. Esse método pode ser eficaz em criptografias mais fracas ou quando o texto claro é conhecido.
4. Análise diferencial: esse método envolve a análise de duas ou mais mensagens criptografadas para encontrar padrões que possam ser usados para determinar a chave de criptografia. Esse método é mais eficaz em criptografias simétricas, como AES.
5. Ataque de criptografia lateral: este método envolve a exploração de falhas na implementação física da criptografia, como falhas em chips de criptografia, para obter acesso a chaves de criptografia.
6. Quebra de chaves: esse método envolve a tentativa de quebrar a chave de criptografia por meio de análise matemática ou algoritmos de criptografia fracos. Esse método pode ser eficaz em criptografias mais simples ou quando a chave de criptografia é muito curta.

Ferramentas para a decifragem de dados

            Existem vários aplicativos que, utilizando os métodos anteriormente citados, podem utilizar os processos de criptoanálise. A seguir veremos os aceleradores e aplicativos mais utilizados no trabalho do perito.

Aceleradores

            De acordo com Kuppens (2016), os aceleradores são ferramentas ou métodos que podem ser utilizados para agilizar e melhorar o processo de decifragem em um ambiente pericial utilizando três técnicas diferentes:

• Processamento distribuído: O processamento distribuído envolve o uso de vários computadores conectados em rede para realizar uma tarefa computacional complexa, como a decifragem de uma mensagem criptografada. Cada computador na rede pode ser atribuído a uma parte específica do processo de decifragem, e os resultados podem ser combinados para produzir a mensagem decifrada. Essa técnica é útil para acelerar o processo de decifragem, pois permite que várias tarefas sejam executadas em paralelo, reduzindo assim o tempo necessário para concluir a análise criptográfica.
• Unidades de processamento gráfico (GPU): As GPU´s são processadores projetados especificamente para lidar com tarefas gráficas, como renderização de vídeo e jogos em 3D. No entanto, esses processadores também podem ser usados para realizar cálculos matemáticos complexos, como a decifragem de mensagens criptografadas. As GPU´s são especialmente úteis para acelerar o processo de decifragem porque podem executar vários cálculos em paralelo, aproveitando assim sua arquitetura. As GPU´s podem acelerar até 45 vezes a velocidade de processo de decifragem.
• Hardware programável: O hardware programável, como as FPGAs (Field-Programmable Gate Arrays), é um tipo de hardware que pode ser programado para executar tarefas específicas. Esses dispositivos são altamente especializados e podem ser programados para realizar operações matemáticas complexas, como a decifragem de mensagens criptografadas, com alta eficiência. Essa capacidade de programação flexível torna as FPGAs úteis em uma variedade de aplicações, incluindo a decifragem de mensagens criptografadas. Por exemplo, um pesquisador pode projetar um circuito FPGA específico para realizar a operação matemática necessária para decifrar uma mensagem criptografada, e então carregar esse circuito diretamente na FPGA. A vantagem dessa abordagem é que ela permite que a decifragem seja executada diretamente no hardware, em vez de depender de software executado em um processador convencional.

Aplicativos

Kuppens (2016), aborda os dois principais aplicativos para decifragem de dados hoje disponíveis no mercado: o Passware Kit Forensic (PKF) e o Distributed Network Attack (DNA). Ambos distribuem o processamento entre os computadores de uma rede local no modelo cliente-servidor. Dessa forma, ambos possuem um nó de gerenciamento responsável por distribuir e acompanhar o processamento de decifragem.

O PKF utiliza várias técnicas de recuperação de senha, incluindo ataques de força bruta, dicionário, combinação e ataques inteligentes, que podem ajudar os investigadores forenses a recuperar senhas de forma mais rápida e eficiente. O software também inclui recursos para dO ecriptografar arquivos, recuperar chaves de criptografia e realizar análises de memória, em algumas ocasiões é capaz de extrair a chave criptográfica direto da memória do computador alvo. Outra funcionalidade do PKF é a recuperação de senhas de backup de dispositivos móveis Android e iOS.

O DNA possui a capacidade de processamento distribuído que permite aos usuários aproveitar o poder de processamento de vários computadores para acelerar o processo de recuperação de senha. Com o DNA, os usuários podem criar uma rede de computadores que trabalham em conjunto para realizar ataques de força bruta e dicionário em senhas protegidas. Permite o processamento em paralelo de vários casos, importante quando há um caso muito demorado sendo processado e um outro arquivo é recebido.

Processo de decifragem de dados

Não existe uma ferramenta ótima para todos os casos, o perito deverá determinar qual o método, aceleradores e aplicativos mais indicados para processar o caso. A base do processo de decifragem de dados envolve três etapas:

• Identificação dos recursos compatíveis – Uma vez identificado o dado criptografado, o perito deve verificar qual a ferramenta disponível é capaz de processá-lo. A identificação de recursos disponíveis é a primeira etapa no processo de decifragem de dados e envolve a avaliação dos recursos do sistema, como o tipo de criptografia usada, o formato do arquivo e a plataforma do sistema operacional.

O perito deve determinar se existem ferramentas disponíveis que são capazes de decifrar a criptografia utilizada no dado em questão e verificar se essas ferramentas são compatíveis com o sistema operacional do dispositivo em que os dados foram criptografados.

É importante notar que nem todas as ferramentas de decifragem são capazes de processar todos os tipos de criptografia e formatos de arquivo. Por isso, o perito deve selecionar uma ferramenta que seja adequada para o tipo específico de criptografia usada nos dados a serem decifrados.

• Ordem e parâmetros dos métodos de decifragem – Depois de identificar as ferramentas compatíveis, o perito deve determinar a ordem e os parâmetros dos métodos de decifragem a serem usados. Essa etapa pode ser influenciada pelos recursos disponíveis, pela complexidade da criptografia e pela urgência do caso. Sugere-se a adoção de uma ordem com métodos de maior sucesso:

1. Recuperação Direta e pré-computado: Antes de iniciar qualquer procedimento mais complexo, o perito deve verificar se o dado criptografado é suscetível à recuperação direta ou ao método pré-computado, que envolve a criação de uma tabela que contém uma lista de possíveis chaves de criptografia e seus equivalentes de texto simples. Essa tabela é criada antes de tentar decifrar os dados criptografados e pode ser muito eficiente quando a criptografia utiliza uma chave de criptografia fraca ou previsível. No entanto, a criação da tabela pode ser demorada e requer grande poder de processamento, além de que a tabela pode ocupar muito espaço em disco.
2. Dicionário (sem regras de alteração): Métodos mais complexos e mais lentos podem ser utilizados quando as técnicas que garantem sucesso não são suportadas. É um método de força bruta em que o atacante tenta decifrar a senha ou chave de criptografia testando uma lista de palavras comuns ou frases usadas frequentemente como senhas. Esses dicionários devem ser utilizados sem regra de alteração, de forma direta.
3. Força Bruta ( limitado): Esse método é limitado a letras minúsculas e números para senhas de 1 a 7 caracteres. É mais rápido do que outros métodos de força bruta, mas também é menos eficaz para decifrar senhas mais complexas.
4. Dicionários ( com regras de alteração simples): Nos casos em que as senhas não foram encontradas pelos métodos anteriores, sugere-se a utilização dos mesmos dicionários já criados , mas com a aplicação de regras de alteração simples.
5. Métodos probabilísticos: Os métodos probabilísticos são técnicas de decifragem que utilizam a probabilidade para tentar adivinhar a senha ou chave de criptografia correta. A utilização de métodos probabilísticos é um dos últimos métodos usados pelo perito. Aplicativos como PKF e DNA , não são capazes de gerar senhas com probabilidades condicionais em português.
6. Força Bruta: Último recurso à disposição do perito é aumentar o espaço de senhas em um ataque de força bruta ilimitado. Onde testará senhas maiores e incluindo todos os caracteres disponíveis

Finalização do caso

            O processo de criptoanálise só tem duas finalizações possíveis: a) A senha foi por um dos métodos de decifragem utilizados ou b) Foi atingido o espaço de tempo limite para processamento.

Se a senha for descoberta, o criptoanalista pode acessar a mensagem original e ler seu conteúdo. Isso pode ser útil em muitos casos, como na prevenção de crimes, na obtenção de informações importantes ou na proteção de dados confidenciais.

Por outro lado, se o criptoanalista não conseguir descobrir a senha dentro do espaço de tempo limite para processamento, o processo será interrompido. Isso pode acontecer por vários motivos, como a força da criptografia utilizada, a complexidade da senha ou a falta de recursos disponíveis. O tempo limite [e um valor arbitrário , e pode variar de algumas horas a até vários meses. Tudo dependerá dos recursos computacionais envolvidos.

O desafio de criptoanalistas para tentar quebrar as criptografias que foram projetadas para serem inquebráveis é um tema muito fascinante e complexo. A criptografia moderna utiliza técnicas avançadas, no entanto, ao longo da história, muitas criptografias que se acreditavam serem inquebráveis foram quebradas com sucesso, e os criptoanalistas sempre estão em busca de novas maneiras de quebrar as criptografias mais avançadas.

13. Capítulo 14 – Técnicas Antiforenses

As técnicas antiforenses são técnicas utilizadas por criminosos para impedir a coleta e análise de evidências forenses por investigadores. Essas técnicas buscam dificultar a recuperação de dados e informações importantes que possam ser utilizadas como prova em um processo judicial. Existem diversas técnicas antiforenses, que vão desde a exclusão de arquivos até a criptografia de dados.

Camargo e Rodrigues (2016), nos diz que a utilização dessas técnicas tem se tornado sempre frequente. Uma das técnicas antiforenses mais comuns é a criptografia de dados, que consiste em utilizar algoritmos de criptografia para esconder informações importantes. Essa técnica é muito eficaz, pois torna os dados inacessíveis sem a chave correta, o que dificulta muito a análise de evidências. Outra técnica antiforense é a ofuscação de código, que consiste em embaralhar o código de um programa para tornar mais difícil a análise do seu funcionamento e identificação de vulnerabilidades. Isso pode ser utilizado por criminosos que desenvolvem malwares, por exemplo, para dificultar a detecção do seu código malicioso pelos antivírus e outros softwares de segurança.

Antiforense Computacional

Nos incidentes computacionais existem muitas técnicas que podem dificultar ou inviabilizar a análise ou coleta de evidências. Segundo Camargo e Rodrigues (2016), antiforense é “ toda e qualquer técnica aplicada para dificultar, subverter ou inviabilizar a coleta ou análise de um determinado vestígio.”  Garfinkel (2007), afirma que a antiforense computacional pode envolver a utilização de técnicas como criptografia, ofuscação de código, modificação de arquivos e registros, entre outras.

É importante destacar que a antiforense computacional representa um grande desafio para os profissionais da área forense digital. Podemos classificar as técnicas antiforenses nas seguintes categorias:

• Ocultação, ofuscação ou encriptação de dados: Visam esconder ou tornar inacessíveis os dados relevantes para a investigação. Por exemplo, a utilização de esteganografia para ocultar dados dentro de arquivos aparentemente inofensivos ou a utilização de criptografia para proteger os dados de acesso não autorizado.
• Deleção ou destruição de dados: técnicas que visam eliminar os dados relevantes para a investigação. Isso pode ser feito de forma física, como a destruição de discos rígidos ou de forma lógica, como a exclusão de arquivos ou a formatação do dispositivo de armazenamento.
• Falsificação de dados: técnicas que visam alterar os dados relevantes para a investigação. Por exemplo, a alteração de metadados em arquivos ou a utilização de técnicas de spoofing para modificar informações de identificação do usuário.
• Prevenção à análise: técnicas que visam dificultar a análise dos dados relevantes para a investigação. Por exemplo, a utilização de técnicas de anti-debugging para evitar a depuração de um programa .
• Obstrução à coleta de vestígios: técnicas que visam impedir a coleta de evidências relevantes para a investigação. Por exemplo, a utilização de técnicas de anti-forense para dificultar a recuperação de dados apagados ou a utilização de técnicas de anti-carving para dificultar a recuperação de arquivos fragmentados.
• Subversão de ferramentas: técnicas que visam explorar vulnerabilidades em ferramentas de análise forense digital. Por exemplo, a exploração de vulnerabilidades em ferramentas de análise de memória para impedir a recuperação de dados.

Classificação das técnicas antiforenses

Para facilitar o entendimento dos estudos de casos aqui apresentados, as técnicas antiforenses foram subdivididas em categorias:

1. Ocultação, ofuscação e encriptação de dados.

Categoria de técnicas que visam dificultar ou impossibilitar a identificação de informações. A ocultação de vestígios pode ser feita através de uma técnica de ocultação de cabeçalho, esteganografia ou ocultação da informação em atributos do próprio sistema de arquivo ou sistema operacional. Ofuscação transforma a informação contida no vestígio, mas facilmente reversível. Ex.: Esteganografia.

A esteganografia é uma técnica que consiste em esconder informações dentro de outros dados, de modo que essas informações passam despercebidas aos olhos de quem não tem conhecimento da existência delas. Tem sido utilizada desde a antiguidade, quando era comum escrever mensagens secretas em pergaminhos utilizando tinta invisível. Hoje em dia, a esteganografia é muito utilizada na área de segurança da informação para proteger dados sensíveis e informações confidenciais.

Existem diversas técnicas de esteganografia, sendo que as mais comuns são as que escondem informações dentro de arquivos de imagem, som e vídeo. Por exemplo, é possível esconder um arquivo de texto dentro de uma imagem BMP sem que isso afete a visualização da imagem. Para isso, são utilizados programas que modificam os bits menos significativos dos pixels da imagem, de modo que as alterações não são perceptíveis aos olhos humanos.

A esteganografia pode ser utilizada para diversos fins, desde a proteção de informações sensíveis até a comunicação clandestina. Porém, é importante lembrar que essa técnica não é infalível e pode ser detectada através de análises forenses. Além disso, a esteganografia também pode ser utilizada para fins ilegais, como a distribuição de material pornográfico infantil ou a transmissão de informações terroristas.

E por último, a encriptação refere-se ao uso de criptografia para inviabilizar que a informação seja acessível por pessoas que não possuam a chave.

1. Deleção ou destruição de dados

Nessa categoria temos ferramentas como o CCleaner, que estão cada vez mais frequentes. O CCleaner é uma ferramenta comumente usada para limpar arquivos desnecessários e temporários do computador, mas também pode ser usada para excluir permanentemente dados. Na forense digital, a deleção ou destruição de dados por meio de ferramentas como o CCleaner pode ser um desafio para os investigadores, uma vez que os dados não estão mais acessíveis pelo sistema operacional.

Para verificar se o CCleaner foi executado, deve-se proceder a análise de chaves de registro através da rápida verificação do caminho “HKCU\Software\Piriform\CCleaner”, criado pela ferramenta. HKCU significa HKEY_CURRENT_USER, que é uma abreviação para a chave de registro que armazena as configurações do usuário atual. Essa chave contém informações sobre a instalação do CCleaner, como a versão instalada, data de instalação, idioma usado e outras configurações.

É importante observar que os usuários avançados ou mal-intencionados podem modificar ou excluir as chaves de registro do CCleaner para esconder suas atividades. Por isso, é recomendável que os investigadores usem várias fontes de informação durante a análise forense, incluindo registros do sistema, arquivos de log e outras evidências digitais.

1. Falsificação de dados

As técnicas antiforenses são utilizadas por criminosos com o intuito de dificultar ou impedir que investigadores possam rastrear suas atividades e evidências em sistemas ou dispositivos eletrônicos. Essas técnicas podem envolver a alteração ou destruição de dados, arquivos, registros e metadados, tornando-os impossíveis ou muito difíceis de serem recuperados e analisados pelos investigadores.

Adulteração de timestamps

Adulteração de timestamps é uma técnica antiforense que consiste em modificar a data e hora registradas nos metadados de arquivos, pastas e sistemas operacionais. Essa técnica pode ser usada por criminosos com o objetivo de esconder evidências ou confundir os investigadores sobre a ordem cronológica dos eventos.

Os timestamps são marcas de tempo que indicam quando um arquivo foi criado, modificado ou acessado pela última vez. Essas informações são importantes para a investigação forense, pois permitem que os investigadores identifiquem a sequência de eventos que levaram ao crime. No entanto, a adulteração de timestamps pode comprometer a integridade dessas informações, tornando-as inúteis para a investigação.

Colisão em hashes de arquivos executáveis

O hash é uma função matemática que transforma uma quantidade variável de dados em um valor fixo de tamanho definido. Em março de 2005, pesquisadores da Universidade da China identificaram vulnerabilidades no algoritmo MD5 onde sequencias diferentes de 128 bits podem gerar o mesmo hash.

As colisões de hashes ocorrem quando dois ou mais arquivos diferentes produzem o mesmo valor de hash. Isso pode ser usado pelos criminosos para criar um arquivo malicioso que tenha o mesmo valor de hash de um arquivo legítimo, a fim de enganar os sistemas de segurança. Para evitar a utilização dessa técnica pelos criminosos, é importante que as organizações utilizem hashes mais seguros, como o SHA-256, que possui maior tamanho e complexidade em relação a outros algoritmos de hash.

A primeira forma de identificarmos esse tipo de técnica antiforense é calcular o hash de cada setor individualmente, possibilitando verificar as divergências.

Prevenção à análise

Para impedir a possibilidade de analisar os vestígios coletados, a prevenção à análise utiliza-se de técnicas como o Abort Factor, conforme a seguir:

Em 2012 o Abort Factor foi apresentado por dois pesquisadores japoneses na Black Hat Europa em 2012.  Modificando-se um único byte do arquivo que contém o dump, inviabiliza-se a análise de memória. Os cientistas observaram que existem três operações fundamentais para um correto funcionamento:

1. Tradução de endereçamento virtual para endereço físico;
2. Identificação da versão do sistema operacional ;
3. Obtenção de objetos de kernel.

Em um dump de memória com um único abort fator, o Volatility não consegue interpretar a estrutura dos dados da memória física.  Camargo e Rodrigues (2016), nos diz que é possível reverter o ataque a partir do seguinte princípio: o Volatility permite indicar por meio de parâmetros. Iddentificou-se q esse parâmetro permite especificar a versão do sistema operacional que foi utilizada no dispositivo que gerou o dump de memória. Dessa forma, o Volatility poderá identificar corretamente a estrutura dos dados da memória física.

Além disso, é possível tentar identificar manualmente o byte que foi modificado pelos atacantes e revertê-lo para o valor original. Isso pode ser feito utilizando ferramentas de edição de arquivos binários, como o hexeditor.[10]

Transmography – Adulteração de Cabeçalhos

Conforme Camargo e Rodrigues (2016), a técnica envolve a modificação dos cabeçalhos de arquivos, que contêm informações importantes sobre a origem e a autenticidade dos dados. Ao alterar esses cabeçalhos, os criminosos podem enganar os investigadores, fazendo-os acreditar que os dados foram gerados ou modificados em um momento diferente do que realmente ocorreu.

Um exemplo comum de transmografia é a modificação do timestamp de um arquivo. Os criminosos podem alterar o timestamp para fazer parecer que o arquivo foi criado ou modificado em um momento diferente do que realmente ocorreu.

Obstrução à coleta de vestígios

A obstrução à coleta de vestígios é uma técnica anti-forense utilizada para dificultar ou impedir a análise de evidências digitais em investigações criminais. Essa técnica envolve a eliminação, alteração ou ocultação de evidências digitais que possam ser utilizadas contra o autor do crime.

Subversão de Ferramentas

A subversão de ferramentas de Computação Forense consiste no lançamento de exploits para se aproveitar de vulnerabilidades exixtentes no código da ferramenta.

Em 2013 foi apresentado na Conferência Black Hat uma exploração ao Encase, que usa o plugin Oracle Outside Technology. Que permitem a execução de código de forma remota com credenciais administrativas. Deve-se ter extrema cautela com a segurança da estação pericial utilizada.

A aplicação de técnicas antiforenses quando utilizadas isoladamente ou em conjunto com outras podem dificultar em muito a análise. Produzem-se muito mais técnicas para inviabilizar ou atacar computadores do que para apoiar investigações e isso é muito preocupante.

14.  Capítulo 15 – Segurança e Defesa Cibernética

 

O Espaço Cibernético

Segundo Gonçalves, Nunes e Franco (2016), desde os primeiros computadores, a busca por informações e sua manipulação tem sido uma constante na história da tecnologia da informação. O advento da internet e a expansão da tecnologia digital tornaram o acesso à informação mais fácil e abrangente. Com o passar do tempo, o conceito de Espaço Cibernético evoluiu, definindo-o como um espaço virtual onde as pessoas interagem e compartilham informações.

O Espaço Cibernético é um espaço de conexão entre pessoas, empresas e governos. Porém, essa conectividade também pode trazer riscos, como a vulnerabilidade de dados pessoais e empresariais. As ameaças cibernéticas incluem hackers, vírus, malware, phishing, e muitas outras formas de ataques cibernéticos. Para combater essas ameaças, as empresas e governos têm investido cada vez mais em soluções de segurança da informação.

A coexistência de ameaças e defesas no Espaço Cibernético tem sido uma constante, e muitos estados têm reconhecido a necessidade de proteger seus interesses neste espaço. Para isso, vários países têm criado agências de segurança cibernética e investido em tecnologia e estratégias de defesa cibernética.

A proteção dos interesses no Espaço Cibernético tornou-se uma questão crítica, especialmente na era da tecnologia digital, onde a informação é um ativo valioso. A segurança cibernética é fundamental para garantir a privacidade, a integridade e a confidencialidade das informações, e para evitar consequências graves, como o roubo de informações confidenciais, a interrupção dos serviços críticos, e até mesmo ataques terroristas.

O Espaço Cibernético tornou-se um ambiente complexo e em constante evolução, que exige soluções de segurança avançadas para combater as ameaças cibernéticas. Governos, empresas e indivíduos têm um papel importante na proteção desse espaço, e a conscientização sobre a segurança da informação é fundamental para garantir um ambiente digital seguro e confiável.

Segurança Cibernética

Gonçalves, Nunes e Franco (2016) diz que o conceito de segurança cibernética é tratado como uma estratégia de Estado, pois a proteção das informações é fundamental para a segurança nacional, o funcionamento dos serviços críticos e a manutenção do bem-estar da população. Governos têm um papel importante na proteção do espaço cibernético e na definição de políticas e regulamentações para garantir a segurança da informação.

A segurança cibernética é o conjunto de medidas que visa proteger a informação e os sistemas de computação contra ameaças cibernéticas, garantindo os  pilares da segurança da informação :

 

• Confidencialidade é a garantia de que apenas pessoas autorizadas tenham acesso à informação, prevenindo o acesso não autorizado e o vazamento de dados.
• Integridade garante que a informação não seja modificada ou corrompida de forma não autorizada. A disponibilidade garante que a informação esteja disponível sempre que necessário.
• Autenticidade garante a validade da informação e a identidade das partes envolvidas na comunicação.

A segurança cibernética é uma estratégia crucial para garantir a proteção das informações e sistemas de computação, prevenindo ameaças cibernéticas e garantindo a confidencialidade, integridade, disponibilidade e autenticidade das informações. O papel do Estado é fundamental para definir políticas e regulamentações, além de promover a conscientização e a adoção de medidas de segurança cibernética por empresas e indivíduos.

Defesa Cibernética

De acordo com Gonçalves, Nunes e Franco (2016) , a defesa cibernética tem se tornado cada vez mais importante no contexto mundial, especialmente com o aumento do número de ameaças cibernéticas sofisticadas e a dependência crescente da tecnologia da informação em todos os setores da sociedade. Para enfrentar essas ameaças, as nações têm se mobilizado para reorganizar suas atividades e normas em prol da defesa cibernética.

Através da interoperabilidade dos meios de tecnologia da informação diferentes sistemas e organizações, trocam informações e a coordenação de ações de defesa cibernética. A interoperabilidade é importante tanto para a defesa cibernética interna, que visa proteger as redes e sistemas nacionais, quanto para a defesa cibernética externa, que envolve a cooperação internacional para prevenir e combater ameaças cibernéticas transnacionais.

As nações têm implementado várias medidas para fortalecer a defesa cibernética, incluindo a criação de agências de segurança cibernética, a elaboração de políticas e regulamentações de segurança cibernética, o desenvolvimento de tecnologias avançadas de defesa cibernética e a promoção da cooperação internacional em defesa cibernética. A defesa cibernética é uma questão crucial para a segurança nacional e a prosperidade econômica, e as nações têm se mobilizado para enfrentar as ameaças cibernéticas e garantir a segurança e a confiabilidade dos sistemas de computação e da informação.

No Brasil, o desenvolvimento do setor cibernético brasileiro está sob responsabilidade do Exército Brasileiro pela criação do Centro de Defesa Cibernética – CDCiber.

Guerra Cibernética

A guerra cibernética é uma ameaça crescente no mundo moderno, com a proliferação de tecnologias avançadas de informação e comunicação.

As mudanças tecnológicas sucessivas têm permitido complexidade da guerra cibernética e a sua natureza em constante evolução exigem que as organizações e governos estejam sempre atualizados sobre as últimas técnicas ofensivas e defensivas.

Ferramentas de monitoramento de ataques cibernéticos são essenciais para garantir a segurança dos sistemas e proteger as organizações contra ameaças cibernéticas.

Vamos falar especificamente sobre três delas: Digital Attack Map, Norse IPViking e Cyber Threat Real-Time Map.

1. Digital Attack Map: A Digital Attack Map é uma ferramenta criada pela empresa de segurança cibernética Arbor Networks em parceria com o Google. Ela é uma visualização em tempo real dos ataques DDoS (negação de serviço distribuída) que estão ocorrendo em todo o mundo. A ferramenta utiliza dados de tráfego anônimo e agregado de mais de 330 provedores de serviços de Internet em todo o mundo. Os usuários podem filtrar o mapa por tipo de ataque, origem e destino dos ataques, bem como ver um histórico de ataques anteriores.

 

Fonte: Internet

2. Norse IPViking: O Norse IPViking é outra ferramenta de monitoramento de ataques cibernéticos em tempo real. Ele permite que os usuários vejam uma representação visual dos ataques que estão ocorrendo em todo o mundo, incluindo os tipos de ataque, a origem e o destino dos ataques e o tamanho dos ataques. A ferramenta também fornece informações sobre a reputação do IP, como se ele foi registrado como malicioso anteriormente. O Norse IPViking é usado por organizações em todo o mundo, incluindo empresas de tecnologia, instituições financeiras e governos.

 

 

 

Figura 9 – Norse Attack Map

Fonte: Internet

 

3. Cyber Threat Real-Time Map: A Cyber Threat Real-Time Map é uma ferramenta de monitoramento de ameaças cibernéticas criada pela empresa de segurança cibernética Kaspersky. A ferramenta mostra uma visualização em tempo real de ameaças cibernéticas em todo o mundo, incluindo malware, ataques de phishing e outros tipos de ataques. Os usuários podem filtrar o mapa por país e tipo de ameaça e ver detalhes sobre cada ameaça, incluindo o nível de risco e os sistemas afetados.

Figura 9 – Tela do CyberThreat Real-Time Map

Fonte: Internet

Essas ferramentas de monitoramento de ataques cibernéticos são úteis para organizações que precisam manter seus sistemas seguros e proteger seus dados contra ameaças cibernéticas. Ao visualizar as ameaças em tempo real, os usuários podem tomar medidas imediatas para mitigar os riscos e proteger seus sistemas.

Armas Cibernéticas

As armas cibernéticas são ferramentas utilizadas para executar ataques digitais com o objetivo de causar danos a sistemas, infraestruturas e informações. Essas armas podem ser desenvolvidas com diferentes finalidades, como espionagem, sabotagem, extorsão e guerra cibernética. E uma das principais formas de disseminação dessas armas é por meio de códigos maliciosos.

Os códigos maliciosos são programas de computador que possuem funções maliciosas, como roubar informações, destruir dados ou controlar remotamente sistemas. Esses códigos são disseminados por diferentes meios, como e-mails infectados, downloads de arquivos em sites suspeitos ou através de redes de computadores comprometidas. Os desenvolvedores de armas cibernéticas podem utilizar esses códigos maliciosos como forma de disseminar suas ferramentas, pois eles permitem a execução de ataques de forma remota e muitas vezes sem serem detectados. Por meio desses códigos, as armas cibernéticas podem ser implantadas em sistemas vulneráveis e utilizadas para coletar informações, controlar redes de computadores ou causar danos a infraestruturas críticas.

Além disso, os códigos maliciosos também podem ser utilizados como forma de camuflagem para as armas cibernéticas. Isso porque eles podem ser programados para se esconderem em sistemas e evitar serem detectados por ferramentas de segurança. Dessa forma, a presença de armas cibernéticas pode passar despercebida e causar danos ainda maiores.

Portanto, é fundamental que empresas, organizações e governos estejam preparados para enfrentar esses tipos de ameaças. É necessário investir em tecnologias de segurança, políticas de prevenção e capacitação de profissionais especializados. A segurança cibernética é um desafio constante, e é preciso estar sempre atualizado e vigilante para proteger nossos sistemas e informações.

De acordo com Gonçalves, Nunes e Franco (2016), os códigos avançados possuem diversas peculiariedades:

• Utilização de Zero days para subverter tecnologias de segurança;
• Conhecimentos profundos por parte do atacante, a respeito das tecnologias e sistemas a serem explorados;
• Utilização de técnicas para se tornarem indetectáveis e prolongamento de permanência em sistemas comprometidos;
• Utilização de ataques coordenados para espionagem, roubo de dados e sabotagem cibernética.

Em um ataque cibernético, os erros devem ser minimizados e os alvos não devem suspeitar que estão sob ataque. O planejamento de uma operação cibernética é fundamental.

Zero day

Exploits “zero day” são vulnerabilidades de segurança em software ou sistemas operacionais que são desconhecidas pelo fabricante e, portanto, não possuem uma correção ou patch disponível para proteger contra-ataques. Essas vulnerabilidades são chamadas de “zero day” porque não há tempo para o fabricante corrigi-las antes que sejam exploradas por criminosos cibernéticos.

O comércio de exploits “zero day” é uma prática controversa na indústria de segurança cibernética. Algumas empresas especializadas em segurança compram e vendem essas vulnerabilidades para clientes, incluindo governos e empresas, que as usam para espionagem, guerra cibernética ou monitoramento de atividades criminosas. Os governos dos Estados Unidos e da China são conhecidos por usarem exploits “zero day” em seus programas de inteligência e espionagem cibernética. Em 2017, um grupo de hackers chamado Shadow Brokers vazou uma série de ferramentas de hacking da Agência de Segurança Nacional dos EUA, incluindo vários exploits “zero day“. Acredita-se que a China também tenha um programa ativo de coleta de exploits “zero day“.

O uso de exploits “zero day” por governos levanta preocupações sobre privacidade e segurança cibernética, pois essas vulnerabilidades podem ser usadas para invadir sistemas e coletar informações sem o conhecimento ou consentimento dos usuários. Além disso, a venda de exploits “zero day” para governos ou outras entidades pode criar um mercado que incentiva a descoberta e exploração de vulnerabilidades em vez de reportá-las aos fabricantes para correção.

Inteligência Cibernética

Gonçalves, Nunes e Franco (2016) nos diz que o propósito da inteligência cibernética é propiciar cdonhecimentosa necessários à defesa e otimização da capacidade proativa de resposta a uma ameaça iminente ou em curso. É uma área de inteligência que se concentra em coletar e analisar informações de fontes abertas e fechadas relacionadas a ameaças cibernéticas.

O objetivo da inteligência cibernética é ajudar as organizações a defender suas redes e sistemas contra ataques cibernéticos, identificando e antecipando ameaças e fornecendo informações valiosas para a tomada de decisões. Envolve uma variedade de técnicas e tecnologias para coletar e analisar dados relacionados a ameaças cibernéticas. Isso inclui a análise de logs de rede, a monitoração de tráfego de rede, a análise de malware, a análise de vulnerabilidades, a análise de ameaças de mídia social, a análise de inteligência humana e muitas outras técnicas.

Pode ser baseada em mecanismos de hardware e software. Por exemplo, as empresas podem implantar sensores de rede e dispositivos de coleta de dados para coletar informações sobre tráfego de rede e ameaças cibernéticas. Esses dispositivos podem ser integrados com softwares de análise de dados que podem identificar padrões e tendências em dados relacionados a ameaças cibernéticas.

A Inteligência Cibernética é um processo que leva em conta o ciberespaço, objetivando a obtenção, análise e a capacidade de produção de conhecimentos baseados nas ameaças virtuais. Para alcançar este objetivo, a Inteligência Cibernética envolve a coleta de dados de fontes diversas, incluindo logs de rede, registros de sistema, bancos de dados de malware e informações de inteligência humana. Esses dados são analisados usando técnicas de análise avançada, como aprendizado de máquina e inteligência artificial, para identificar padrões, tendências e anomalias que podem indicar ameaças cibernéticas.

Inteligência Cibernética pode abranger uma ampla gama de tópicos relacionados à segurança cibernética. Algumas das áreas que a Inteligência Cibernética pode abranger incluem:

1. Análise de ameaças cibernéticas: esta área inclui a coleta e análise de dados sobre ameaças cibernéticas em andamento, incluindo ameaças internas e externas, malware, ataques de negação de serviço (DDoS), phishing e outras formas de ataque.
2. Análise de vulnerabilidades: esta área envolve a identificação de vulnerabilidades em sistemas, aplicativos e infraestrutura de TI, bem como a análise do impacto potencial dessas vulnerabilidades e recomendações para mitigá-las.
3. Análise de tráfego de rede: esta área envolve a análise de dados de tráfego de rede em tempo real para identificar atividades suspeitas ou maliciosas, como tentativas de invasão, atividades de malware e outras formas de ataque.
4. Análise de inteligência humana: esta área envolve a coleta e análise de informações de fontes humanas, como fóruns de hackers e redes sociais, para identificar tendências e atividades relacionadas a ameaças cibernéticas.
5. Análise de tendências cibernéticas: esta área envolve a análise de dados históricos e tendências a longo prazo relacionados a ameaças cibernéticas para prever possíveis futuras ameaças e desenvolver estratégias de defesa mais eficazes.
6. Análise de malware: esta área envolve a análise de código malicioso para identificar funcionalidades, origem, e impacto potencial, a fim de desenvolver medidas de proteção mais eficazes.
7. Análise de segurança de aplicativos e sistemas: esta área envolve a análise de aplicativos e sistemas para identificar vulnerabilidades de segurança e recomendar soluções de correção.

Essas áreas de análise são apenas algumas das muitas áreas que a Inteligência Cibernética pode abranger. O objetivo geral é obter informações valiosas sobre ameaças cibernéticas e desenvolver estratégias de defesa proativas e eficazes para proteger organizações e indivíduos no ciberespaço.

Ferramentas de Inteligência cibernética

Open-Source Intelligence (OSINT) é um método de coleta e análise de informações a partir de fontes públicas e abertas disponíveis na internet. A OSINT é uma técnica importante para a Inteligência Cibernética, pois permite obter informações valiosas sobre possíveis ameaças cibernéticas e identificar vulnerabilidades em sistemas de TI.

Existem várias ferramentas utilizadas na Inteligência Cibernética que usam a técnica OSINT para coletar informações. Algumas dessas ferramentas incluem:

1. Google Hacking: É uma técnica de busca que utiliza operadores especiais e modificações de termos na pesquisa do Google para encontrar informações valiosas que não estão facilmente acessíveis por meio de pesquisas comuns. Por exemplo, pode-se usar a busca “site:empresa.com.br filetype:pdf” para encontrar arquivos em PDF disponíveis no site da empresa.
2. Skype Resolver: É uma ferramenta que permite obter o endereço IP de um usuário do Skype. Isso pode ser útil para identificar a localização geográfica de um possível atacante ou investigar a fonte de um ataque cibernético.
3. TheHarvester: É uma ferramenta de coleta de informações que permite coletar informações sobre endereços de e-mail, nomes de usuário e nomes de host de um determinado domínio, usando fontes públicas de informação na internet.
4. Metadados: São informações que fornecem detalhes sobre um arquivo, como a data e hora em que foi criado, o software utilizado para criá-lo e as informações do autor. Essas informações podem ser úteis para identificar a origem de um arquivo ou investigar uma possível violação de dados.

Essas ferramentas são apenas algumas das muitas ferramentas usadas na Inteligência Cibernética para coletar informações e identificar ameaças cibernéticas. É importante ressaltar que o uso dessas ferramentas deve ser feito de forma ética e legal, respeitando as leis e regulamentos aplicáveis.

Segurança e defesa cibernética na Computação Forense

A segurança e defesa cibernética são fundamentais na computação forense, pois é preciso garantir que as provas obtidas durante uma investigação sejam confiáveis e admissíveis em um tribunal. Para isso, são necessários processos padronizados e uma equipe capacitada e equipada com as ferramentas adequadas.

O processo de normatização na aquisição de uma prova envolve seguir um conjunto de diretrizes e padrões para garantir a integridade da prova. Isso pode incluir a documentação do processo de coleta, a identificação de possíveis fontes de contaminação e a garantia da cadeia de custódia da evidência. Essas diretrizes ajudam a assegurar que a prova possa ser usada em um tribunal sem contestação.

O uso de laboratório especializado é essencial para a segurança e defesa cibernética na computação forense. Os laboratórios especializados são projetados para minimizar a contaminação da prova e garantir que o ambiente de trabalho esteja adequadamente equipado para lidar com o manuseio de dispositivos e mídias de armazenamento de dados. Além disso, os laboratórios especializados geralmente têm profissionais capacitados para lidar com situações complexas de coleta de evidências.

A capacitação de pessoal é outro fator importante na segurança e defesa cibernética na computação forense. A equipe responsável pela coleta de evidências deve ser treinada em técnicas de coleta de dados, análise forense, preservação de evidências e procedimentos legais. A capacitação contínua é fundamental para garantir que a equipe esteja atualizada com as últimas tendências e técnicas de coleta de evidências.

Existem muitos desafios enfrentados na segurança e defesa cibernética na computação forense. Alguns deles incluem:

1. Evolução constante das tecnologias: Com a rápida evolução das tecnologias, é preciso que a equipe responsável pela segurança e defesa cibernética esteja sempre atualizada e preparada para lidar com novas ameaças.
2. Coleta de evidências em ambientes virtuais: Em muitos casos, as evidências estão armazenadas em ambientes virtuais, o que pode dificultar a coleta e preservação adequada da prova.
3. Acesso a dados criptografados: A criptografia pode tornar a coleta de evidências muito mais difícil, já que pode ser necessário decifrar as informações para acessá-las.
4. Falta de padronização: A falta de padronização nos processos de coleta de evidências pode levar a inconsistências e contestações legais.
5. Custos elevados: Equipar um laboratório especializado pode ser uma tarefa cara, o que pode limitar a capacidade de algumas organizações de lidar com situações complexas de segurança e defesa cibernética.
6. Escassez de profissionais qualificados: A demanda por profissionais qualificados em segurança e defesa cibernética na computação forense é alta, mas a oferta de profissionais qualificados ainda é limitada, o que pode dificultar a formação de equipes capacitadas.
7. Dificuldade em rastrear ataques: Alguns ataques cibernéticos são muito difíceis de rastrear, o que pode tornar a identificação do responsável pelo ataque muito mais difícil.

Esses são apenas alguns dos desafios enfrentados na segurança e defesa cibernética na computação forense. É importante que a equipe responsável esteja ciente desses desafios e esteja preparada para lidar com eles da melhor maneira possível.

15. Capítulo 16 – Noções de direito cibernético

 

O direito cibernético é um campo emergente que se concentra na proteção legal dos direitos e responsabilidades no ciberespaço. Com a crescente digitalização da sociedade, torna-se cada vez mais importante estudar e compreender as leis e regulamentações que se aplicam ao uso da tecnologia.

Profissionais de uma ampla variedade de setores, incluindo negócios, saúde, finanças, governo e segurança, precisam de apoio técnico-jurídico para lidar com questões relacionadas à segurança cibernética, privacidade, propriedade intelectual e outras questões legais relacionadas ao uso da tecnologia.

O estudo do novo direito cibernético envolve a compreensão de como a tecnologia pode afetar a legislação existente e como novas leis podem ser desenvolvidas para lidar com questões específicas relacionadas ao uso da tecnologia. Isso inclui entender as nuances de como a tecnologia pode ser usada para violar a privacidade, infringir direitos autorais e cometer crimes cibernéticos.

Segundo Pinheiro e Grochocki (2016), as plataformas de negócio modernas são construídas sobre quatro pilares fundamentais: computação móvel, redes sociais, computação em nuvem e big data. Cada um desses pilares oferece recursos e tecnologias que ajudam a impulsionar os negócios e a transformação digital das empresas.

1. Computação móvel: Refere-se à utilização de dispositivos móveis, como smartphones e tablets, para realizar tarefas e acessar informações de qualquer lugar. Pode ser resumido em : processamento/armazenamento, mobilidade e comunicação sem fio. A computação móvel permite que as empresas ofereçam serviços e produtos através de aplicativos móveis, tornando mais fácil para os clientes acessá-los a qualquer momento e em qualquer lugar.
2. Redes Sociais: As redes sociais são plataformas online que permitem que as pessoas se conectem, compartilhem informações e construam relacionamentos. As empresas utilizam as redes sociais para se comunicar com os clientes, promover produtos e serviços e coletar feedbacks. As redes sociais também podem ser utilizadas para análise de dados e insights sobre o comportamento do cliente. É o conceito de social business e social networking.
3. Computação em Nuvem: Refere-se à entrega de serviços e armazenamento de dados através da internet. A computação em nuvem permite que as empresas tenham acesso a recursos de TI, como servidores e armazenamento de dados, sem precisar de investimentos em infraestrutura própria. Isso torna a tecnologia mais acessível e escalável.
4. Big Data: Refere-se ao gerenciamento e análise de grandes conjuntos de dados. As empresas utilizam o Big Data para coletar informações sobre o comportamento do cliente, operações comerciais e outras fontes de dados. A análise do Big Data pode fornecer insights valiosos para a tomada de decisões de negócios, incluindo a identificação de tendências e oportunidades de mercado.

Direito aplicado à tecnologia

O Direito Cibernético é um ramo do direito que trata das questões jurídicas relacionadas à internet, tecnologia da informação e comunicação digital. Ele se desenvolveu como resultado da necessidade de regulamentar questões legais relacionadas à rápida evolução tecnológica e à crescente dependência das pessoas em relação à tecnologia.

Assim como o Direito Codificado, o Direito Cibernético é baseado em leis e normas escritas, como tratados internacionais, leis federais e regulamentações locais. Isso permite que as questões legais sejam tratadas de forma mais precisa e clara. No entanto, o Direito Cibernético também inclui normas de autorregulamentação desenvolvidas pela própria indústria de tecnologia e aplicadas a áreas como privacidade, segurança e proteção de dados. Essas normas são baseadas em acordos voluntários entre empresas e organizações do setor, muitas vezes destinadas a preencher lacunas em áreas onde a lei não é clara ou não cobre todas as questões relevantes.

O Direito Cibernético tem algumas características que o diferenciam dos sistemas jurídicos tradicionais. Por exemplo, ele aborda questões que envolvem a conectividade global, a neutralidade da rede, a segurança cibernética, a proteção de dados pessoais, entre outros. Além disso, as questões relacionadas à tecnologia evoluem rapidamente, exigindo que o Direito Cibernético seja capaz de acompanhar essas mudanças e se adaptar a elas.

É um upgrade do próprio Direito, incorporando novos princípios e normas que refletem a realidade da era digital. Ele procura oferecer soluções para as complexas questões jurídicas apresentadas pela tecnologia e pela internet, equilibrando os interesses das partes envolvidas, protegendo os direitos individuais e garantindo a segurança e a proteção dos dados pessoais

 

A evolução da prova no direito digital

 

Com a crescente dependência da tecnologia na vida cotidiana e nos negócios, a evolução da prova no direito digital se tornou uma questão crítica. A prova é essencial para a resolução de litígios e para a aplicação da justiça. No entanto, a forma como a prova é coletada, armazenada e apresentada em tribunais mudou significativamente com o advento da tecnologia digital.

Antigamente, a prova consistia principalmente em documentos escritos, testemunhas orais e evidências físicas. No entanto, com a proliferação de dispositivos eletrônicos e a crescente digitalização de informações, as provas passaram a incluir dados digitais, como e-mails, mensagens de texto, registros de chamadas telefônicas, arquivos eletrônicos, entre outros.

A importância da evolução da prova no direito digital reside em garantir que as informações digitais possam ser apresentadas e usadas como prova legítima em tribunais. Isso inclui a necessidade de métodos adequados de coleta, preservação, autenticidade e integridade das evidências digitais. Também é importante considerar a privacidade e a proteção de dados pessoais ao coletar e apresentar provas digitais.

As novas tecnologias, como a inteligência artificial e a blockchain, estão mudando ainda mais a forma como as provas são coletadas e apresentadas em tribunais. Por exemplo, a inteligência artificial pode ser usada para analisar grandes volumes de dados digitais em busca de padrões e tendências, enquanto a tecnologia blockchain pode ser usada para garantir a autenticidade e a integridade dos registros digitais.

A evolução da prova no direito digital é uma questão crítica que deve ser acompanhada de perto pelos profissionais do direito. Isso garantirá que as provas digitais possam ser coletadas, armazenadas e apresentadas de forma adequada em tribunais, promovendo a justiça e a proteção dos direitos individuais na era digital.

 

Requisitos para a obtenção da prova digital

Segundo Pinheiro e Grochocki (2016), a prova digital é fundamental para investigações e processos judiciais que envolvem crimes cibernéticos ou que dependem de evidências eletrônicas. Para ser aceita em um processo judicial, a prova digital deve atender a certos requisitos, incluindo a autenticidade, integridade e preservação da cadeia de custódia.

A autenticidade da prova digital se refere à sua origem e autoria. Isso significa que é preciso verificar se a prova foi gerada por uma fonte confiável e se pode ser rastreada até seu criador. Para garantir a autenticidade da prova digital, é necessário preservar sua integridade, ou seja, garantir que ela não foi adulterada ou modificada de alguma forma.

A integridade da prova digital pode ser verificada por meio de técnicas de hash, que são algoritmos que geram uma sequência única de caracteres a partir de um conjunto de dados. Essa sequência é conhecida como o hash do arquivo e serve como uma impressão digital única do arquivo original. Qualquer alteração no arquivo original alterará seu hash, o que permitirá a verificação da integridade da prova digital.

Além disso, é fundamental garantir a preservação da cadeia de custódia da prova digital, ou seja, manter um registro detalhado de todas as etapas envolvidas em sua coleta, armazenamento, transporte e análise. Isso inclui identificar as pessoas responsáveis pela coleta e armazenamento da prova, documentar todos os procedimentos realizados e garantir que a prova esteja sempre sob custódia de uma pessoa responsável e capacitada para lidar com evidências digitais.

Sem uma cadeia de custódia adequada, a prova digital pode ser considerada inválida ou ter seu valor questionado, o que pode prejudicar o resultado do processo.

 

Privacidade e Segurança Pública

A relação entre privacidade e segurança pública tem sido objeto de debate jurídico-filosófico em todo o mundo, com diferentes abordagens e entendimentos sobre a forma como esses dois valores se relacionam.

No Brasil, a intimidade e a vida privada são reconhecidas como direitos fundamentais, protegidos pela Constituição Federal. Isso significa que o Estado tem o dever de respeitar e proteger a privacidade dos indivíduos, exceto em casos específicos previstos em lei, como em investigações criminais e outras situações de interesse público.

Em contraste, nos Estados Unidos, o direito à privacidade é geralmente considerado como um direito menos absoluto do que a segurança pública e nacional. Isso é especialmente evidente nas políticas de segurança nacional adotadas após os ataques de 11 de setembro de 2001, que envolveram a coleta em massa de dados pessoais dos cidadãos americanos sem o seu conhecimento ou consentimento.

Esses embates jurídico-filosóficos refletem diferentes visões sobre o papel do Estado na proteção dos direitos individuais e da segurança coletiva. Alguns argumentam que a proteção da segurança pública e nacional deve ser prioritária, mesmo que isso signifique a supressão dos direitos individuais. Outros defendem que a privacidade é um direito fundamental que deve ser protegido a todo custo, mesmo que isso signifique limitar as atividades de segurança pública e nacional.

É necessário encontrar um equilíbrio adequado entre esses dois valores, privacidade e segurança pública, considerando as circunstâncias específicas de cada caso e respeitando os direitos fundamentais dos indivíduos.

Crimes cibernéticos

De acordo com Pinheiro e Grochocki (2016), os crimes cibernéticos são o fruto da atividade criminosa aplicada ao meio ambiente computacional, o uso de tecnologia da informação, como computadores, redes e dispositivos móveis, para realizar ataques contra sistemas, infraestruturas e informações confidenciais.

Esses crimes incluem roubo de identidade, fraudes eletrônicas, invasões de sistemas, espionagem, distribuição de malware e outras atividades ilegais. A globalização da tecnologia nos anos 90 permitiu o aumento dos crimes informáticos, já que a conectividade global proporcionou novas oportunidades para cibercriminosos. Com a disseminação da internet e a popularização dos computadores pessoais, mais pessoas passaram a ter acesso à tecnologia, o que incluiu indivíduos com intenções maliciosas.

Os crimes cibernéticos têm um impacto significativo na sociedade e na economia. As empresas podem perder informações confidenciais e sofrer prejuízos financeiros, enquanto os indivíduos podem ter suas informações pessoais roubadas e usadas para fins fraudulentos. Além disso, os crimes cibernéticos também podem ter implicações para a segurança nacional, uma vez que os sistemas governamentais podem ser alvo de ataques.

Embora definições para crimes cibernéticos venham sendo cunhadas ao longo do tempo, tal como a definição do 10º Congresso da Nações Unidas (ONU), que, de acordo com Pinheiro e Grochocki (2016), foi delineado o conceito em sentido amplo e estrito. Em sentido estrito abrange qualquer comprometimento ilegal dirigido por meio de operações eletrônicas que têm como alvo a segurança de sistemas e dados processados.

Num sentido mais amplo (crime relacionado a computador) abrange qualquer comportamento ilegal cometido por meio de, ou em relação a um sistema ou rede de computadores.

A ONU tem apoiado a elaboração de normas internacionais de segurança cibernética, como a Convenção de Budapeste sobre Cibercrime, e que tem sido amplamente utilizada como referência para legislação e cooperação internacional em crimes cibernéticos. Não há uma única definição para crimes cibernéticos que seja considerada a melhor e mais ampla. As definições variam dependendo do contexto, da legislação de cada país e das organizações que lidam com o tema.

 

De modo geral, podemos dizer que um crime cibernético é toda ação típica, antijurídica e culpável, onde a tecnologia foi utilizada como ferramenta-meio ou alvo-fim da atividade criminosa. Essas atividades são enquadradas como crime pela legislação, antijurídicas, ou seja, contrárias à lei, e culpáveis, o que significa que o autor deve ser responsabilizado pela ação criminosa.

Os crimes cibernéticos podem incluir uma ampla gama de atividades, desde a simples invasão de um sistema sem autorização até o roubo de informações confidenciais ou a distribuição de malware para prejudicar outras pessoas.

Divisão didática dos crimes cibernéticos

De acordo com o Departamento de Justiça dos Estados Unidos, os crimes cibernéticos podem ser divididos em três categorias principais:

1. a) Computadores como alvo: Essa categoria de crimes cibernéticos envolve o uso de computadores ou sistemas de computadores como alvo direto da atividade criminosa. Exemplos comuns incluem ataques a sistemas de controle industrial, servidores de banco de dados, sites governamentais ou corporativos, sistemas de infraestrutura crítica, entre outros.
2. b) Computadores como dispositivos de armazenamento: Nesse caso, os computadores são usados como dispositivos de armazenamento para dados roubados ou informações confidenciais obtidas por outros meios. Isso pode incluir o uso de malware para extrair informações dos computadores ou dispositivos de armazenamento conectados a eles.
3. c) Computadores como ferramentas de comunicação: Essa categoria de crimes cibernéticos envolve o uso de computadores e outras tecnologias de comunicação para cometer crimes. Isso pode incluir a distribuição de spam ou malware, fraude online, phishing, roubo de identidade e outras atividades criminosas que dependem do uso da tecnologia para serem realizadas.

No Brasil, a categorização de crimes cibernéticos divide-se em:

1. Crimes puros: São aqueles que só podem ser cometidos por meio da internet ou de outros dispositivos eletrônicos, sem equivalente no mundo físico. Exemplos incluem a disseminação de vírus e outros tipos de malware, invasão de sistemas, phishing, pornografia infantil online, entre outros.
2. Crimes mistos: São aqueles em que a tecnologia é usada como um meio para cometer outros tipos de crimes, mas que também podem ser realizados fora do ambiente virtual. Exemplos incluem fraudes bancárias, lavagem de dinheiro, extorsão, ameaças online, difamação e calúnia online, entre outros.
3. Crimes comuns: São aqueles que podem ser cometidos tanto no mundo físico quanto no ambiente virtual. Exemplos incluem crimes como roubo, furto, estelionato, tráfico de drogas, violência doméstica, entre outros, que podem ser facilitados ou agravados pelo uso da tecnologia.

A categorização dos crimes cibernéticos é importante para a aplicação adequada das leis e a definição de estratégias de combate a esses crimes.

Competência para apurar os crimes cibernéticos.

De acordo com Pinheiro e Grochocki (2016) a competência para apurar os crimes cibernéticos sob a ótica do Estado como soberano e detentor do jus puniendi é um tema importante no contexto do combate aos crimes digitais. O Estado tem o dever de zelar pela segurança e proteção dos cidadãos, incluindo a proteção contra crimes cibernéticos.

Nesse sentido, o Estado tem o poder de ministrar a justiça, investigar, processar e punir os autores de crimes cibernéticos. Isso envolve a atuação de diversas instituições, como a Polícia Federal, o Ministério Público e o Poder Judiciário.

O Código Penal Brasileiro define os crimes cibernéticos como delitos previstos em seu texto, sendo que a investigação e punição desses crimes segue as mesmas regras e procedimentos de outros crimes previstos na legislação brasileira.

Os artigos do Código Penal que tratam dos crimes cibernéticos incluem:

• Artigo 154-A: invasão de dispositivo informático alheio
• Artigo 266: interrupção de serviço telemático ou de informação de utilidade pública
• Artigo 298: falsificação de documento particular ou alteração de conteúdo
• Artigo 299: falsidade ideológica
• Artigo 313-A: inserção de dados falsos em sistema de informações

Além disso, a Lei nº 12.737/2012, conhecida como “Lei Carolina Dieckmann”, tipificou o crime de “invasão de dispositivo informático”, prevendo pena de reclusão de 6 meses a 2 anos e multa para quem obtiver, transferir ou disseminar dados sem autorização do titular do dispositivo invadido.

Fica evidente a importância do Direito Cibernético para apoiar profissionais e cidadãos em um mundo cada vez mais conectado e dependente da tecnologia. A  visão de com Pinheiro e Grochocki (2016) destaca a necessidade da união do conhecimento técnico com o conhecimento jurídico para a solução de problemas relacionados ao ambiente virtual.

16.  Capítulo 17 – Documentos processuais – laudos, pareceres e relatórios.

 

Documentos processuais

A produção de documentos processuais é essencial para a Justiça, uma vez que esses documentos fornecem elementos que auxiliam na tomada de decisão do juiz em relação ao caso em questão. Nesse sentido, é fundamental que esses documentos sejam embasados em conhecimento técnico-científico para garantir sua validade e confiabilidade.

Os documentos processuais são elaborados com base em análises técnicas e científicas. Esses profissionais possuem conhecimentos específicos em áreas como engenharia, medicina, contabilidade, entre outras, e utilizam esses conhecimentos para produzir laudos que apresentam informações técnicas que auxiliam na tomada de decisão do juiz.

O trabalho desses profissionais é essencial para garantir a justiça no sistema jurídico, pois eles fornecem informações técnicas e científicas que permitem uma análise mais precisa dos casos em questão.

O novo Código de Processo Civil brasileiro, em seu artigo 478, dispõe sobre a autenticidade e falsidade de documentos. Segundo o dispositivo, quando a autenticidade de um documento for impugnada pela parte contrária, o juiz deverá determinar a realização de perícia para verificar a sua autenticidade ou falsidade. A perícia será realizada por um perito nomeado pelo juiz e deverá seguir as normas técnicas estabelecidas pelo Conselho Nacional de Justiça. O perito deverá se pronunciar sobre a autenticidade ou falsidade do documento, e suas conclusões serão consideradas pelo juiz na decisão final do processo.

É importante ressaltar que o artigo 478 do novo CPC tem como objetivo garantir a segurança jurídica e a confiabilidade dos documentos utilizados como prova nos processos judiciais. Com a realização da perícia, é possível evitar a utilização de documentos falsos ou adulterados, que poderiam prejudicar a decisão judicial e a justiça como um todo.

Laudo Pericial em Computação Forense

Segundo Grochocki e Franco (2016), o laudo pericial em computação forense é um documento técnico-científico elaborado por um perito especializado na área, com o objetivo de apresentar uma análise detalhada sobre os elementos de informática e tecnologia envolvidos em um caso judicial. Esse laudo pode ser utilizado como prova em processos criminais, cíveis e trabalhistas que envolvam questões relacionadas à informática, como invasões de sistemas, fraudes eletrônicas, violação de direitos autorais, entre outros.

Para que o laudo pericial em computação forense tenha validade jurídica, é necessário que ele siga as normas de redação oficial, que são um conjunto de regras e orientações que padronizam a linguagem e a apresentação de documentos oficiais no Brasil. Dentre as principais normas a serem seguidas, destacam-se:

• Clareza: o laudo pericial deve ser claro e objetivo, evitando termos técnicos desnecessários ou que possam gerar confusão para o público leigo;
• Impessoalidade: o perito deve se manter neutro e imparcial em relação ao caso em questão, evitando expressar opiniões pessoais ou julgamentos de valor;
• Coerência: as informações contidas no laudo devem estar organizadas de forma lógica e coerente, seguindo uma estrutura padronizada e de fácil compreensão;
• Precisão: o perito deve utilizar termos precisos e adequados ao tema tratado, evitando ambiguidades e equívocos;
• Conclusividade: o laudo deve conter uma conclusão clara e fundamentada, que responda aos questionamentos formulados pelas partes interessadas no processo.

É importante destacar que o laudo pericial em computação forense é um documento técnico de alta complexidade, que exige conhecimentos especializados tanto em informática quanto em legislação e processos judiciais. Por isso, somente profissionais com habilidade técnico-legal podem realizar esse tipo de trabalho de forma eficiente e precisa.

Estrutura básica de um laudo pericial

De acordo com as diretrizes estabelecidas pela Secretaria de Segurança Pública em seu Procedimento Operacional Padrão (POP) para elaboração de laudos periciais de computação forense, a estrutura básica de um laudo pericial é composta pelos seguintes elementos:

1. Preâmbulo: descrição geral do caso e suas circunstâncias.
2. Histórico (opcional): contextualização do caso e informações relevantes sobre as evidências digitais analisadas.
3. Objetivo: declaração clara do objetivo da perícia, incluindo as perguntas específicas a serem respondidas.
4. Material: descrição detalhada do material recebido para análise, incluindo os equipamentos e mídias digitais.
5. Exame: descrição detalhada dos procedimentos e metodologias utilizados na análise das evidências digitais.
6. Considerações Técnico-Periciais (opcional): explicações técnicas adicionais que possam ajudar a entender melhor os resultados e as conclusões da perícia.
7. Conclusão/Resposta aos Quesitos: respostas claras e objetivas às perguntas feitas na seção Objetivo, bem como conclusões finais sobre o caso.
8. Anexos (opcional): documentação adicional, tais como capturas de tela, arquivos de registro e outros dados relevantes.

Além disso, o laudo pericial deve seguir as normas técnicas e científicas aplicáveis à área de computação forense e ser redigido de forma clara e objetiva, evitando o uso de jargões técnicos e expressões ambíguas. É importante ressaltar que o perito deve se manter imparcial durante a elaboração do laudo, baseando suas conclusões apenas nos fatos e evidências apresentados.

1-Preâmbulo

O preâmbulo de um laudo pericial é uma seção introdutória que fornece uma descrição geral do caso e suas circunstâncias. Nesta seção, o perito deve fornecer informações relevantes sobre o caso que possam ajudar a entender o contexto da perícia.

A descrição geral do caso deve incluir informações sobre o tipo de crime que está sendo investigado, as partes envolvidas, a data e o local do crime, as evidências coletadas e outras informações relevantes que possam ajudar a entender o caso. O preâmbulo também pode incluir informações sobre as circunstâncias em que as evidências digitais foram coletadas, como elas foram armazenadas e quaisquer outras informações relevantes que possam ajudar a entender o caso.

Exemplo:

“Em 16 de março de 2023, a empresa XPTO detectou uma atividade suspeita em seu sistema de informática e solicitou uma análise forense para investigar o incidente. O objetivo da presente perícia é identificar as causas e a extensão da invasão de sistema, bem como determinar se houve acesso não autorizado a informações confidenciais da empresa.

O sistema afetado é um servidor web que hospeda o site corporativo da empresa e é utilizado para armazenar informações financeiras e de negócios. As evidências digitais analisadas incluem logs de servidor, imagens do sistema e outros dados relevantes coletados pela equipe de segurança da empresa.

Este laudo pericial foi elaborado com base em uma análise minuciosa das evidências digitais disponíveis, utilizando metodologias forenses reconhecidas e ferramentas especializadas. A seguir, serão apresentados os resultados da análise, incluindo conclusões sobre as causas e a extensão da invasão de sistema, bem como quaisquer recomendações de segurança que possam ser úteis para a empresa.”

2- Histórico

Histórico é uma seção opcional de um laudo pericial que oferece uma contextualização mais detalhada do caso, incluindo informações relevantes sobre as evidências digitais analisadas. Essa seção pode incluir um resumo das investigações conduzidas até o momento, informações sobre as partes envolvidas e quaisquer outros detalhes que possam ajudar a entender o contexto da perícia.

A inclusão do Histórico em um laudo pericial pode ser útil para fornecer informações adicionais que não foram abordadas no Preâmbulo, a fim de dar uma ideia mais completa do caso e de sua relevância para a perícia.

Um exemplo de Histórico em um laudo pericial de computação forense pode ser o seguinte:

“No dia 16 de março de 2023, o sistema de segurança da empresa XPTO detectou atividades suspeitas em um servidor de banco de dados utilizado para armazenar informações financeiras e de negócios. A equipe de segurança da empresa realizou uma investigação interna preliminar e descobriu que havia indícios de que o servidor havia sido comprometido e que informações confidenciais haviam sido acessadas sem autorização.

Diante disso, a empresa decidiu solicitar uma análise forense do servidor para determinar a extensão da invasão e identificar os possíveis responsáveis. Os dados analisados incluem logs de servidor, backups do sistema, imagens de disco rígido e outros dados relevantes coletados pela equipe de segurança da empresa.

Durante a investigação, foram encontradas várias evidências que indicam a presença de um malware específico no servidor, bem como atividades suspeitas de usuários com privilégios elevados. A análise forense permitiu identificar os endereços IP dos invasores, bem como as técnicas utilizadas para explorar as vulnerabilidades do sistema.

Com base nessas evidências, foi possível determinar que a invasão ocorreu por meio de um ataque de phishing às x horas e y minutos direcionado a um funcionário da empresa com acesso ao servidor comprometido. A seguir, serão apresentados os resultados detalhados da análise forense, incluindo as técnicas de invasão utilizadas e as recomendações de segurança para evitar futuros incidentes.”

3- Objetivo ou motivo da perícia

O objetivo de um laudo pericial de computação forense se refere à declaração clara do objeto da perícia e suas especificações técnicas. Em outras palavras, é a definição do que será periciado e quais são as características e detalhes técnicos dos equipamentos e mídias digitais envolvidos na investigação.

Por exemplo, se a perícia for realizada em um computador, o objetivo deve incluir informações como o modelo e fabricante do computador, o tipo de sistema operacional, a quantidade de memória RAM, a capacidade do disco rígido, entre outras especificações relevantes para a investigação. Já se a perícia envolver a análise de um celular, é importante incluir informações como o modelo, fabricante, sistema operacional, versão do firmware, número de IMEI, entre outros detalhes técnicos relevantes.

Por meio dos objetivos, indicam-se a pretensão com a condução das análises e os resultados esperados.

Um exemplo de objetivo em um parecer técnico é o seguinte:

“O objetivo desta perícia é investigar a possível utilização indevida do sistema de informática de uma empresa para acesso e transmissão de informações confidenciais a terceiros, por meio da análise de computadores e dispositivos de armazenamento digital utilizados por funcionários da empresa envolvidos no caso. A perícia deve responder às seguintes perguntas específicas:

1. Quais foram os arquivos acessados e transmitidos pelos computadores investigados?
2. Qual foi o período de acesso e transmissão desses arquivos?
3. Quais foram os usuários dos computadores envolvidos no caso?
4. Qual foi a natureza das informações acessadas e transmitidas?
5. Há evidências de cumplicidade de terceiros na prática do delito?

4- Descrição do Material Analisado

A descrição do material analisado em um laudo pericial de computação forense se refere à apresentação detalhada dos equipamentos e mídias digitais que foram submetidos à perícia, incluindo informações relevantes como modelo, fabricante, capacidade de armazenamento, sistema operacional, entre outras características técnicas.

Nesse item do parecer, deve-se descrever tudo o que está diante de si, incluindo o ambiente que está sendo periciado. Por exemplo:

“Para a realização desta perícia foram recebidos os seguintes equipamentos e mídias digitais: um notebook da marca Dell, modelo Inspiron 15, com sistema operacional Windows 10, processador Intel Core i5, 8GB de RAM e disco rígido de 1TB; um smartphone da marca Samsung, modelo Galaxy S10, com sistema operacional Android 9, memória interna de 128GB e cartão de memória de 64GB; um pen drive de 16GB da marca Kingston.

O notebook foi recebido em funcionamento e foi realizada a coleta forense de dados utilizando a ferramenta FTK Imager, versão 6.1.2. O smartphone foi recebido bloqueado com senha de acesso e foi realizada a extração de dados utilizando a ferramenta UFED4PC, versão 7.37. O pen drive foi recebido em funcionamento e foi realizada a coleta forense de dados utilizando a ferramenta FTK Imager, versão 6.1.2.

Todos os equipamentos e mídias digitais foram examinados e analisados por meio de técnicas forenses apropriadas para identificar evidências digitais relevantes para o caso em questão. Durante a análise foram adotadas as melhores práticas e metodologias de preservação de evidências digitais, garantindo a integridade dos dados coletados.”

Quando fornecemos uma descrição detalhada do material analisado, o perito garante a transparência e a credibilidade do laudo pericial.

5- Considerações e procedimentos preliminares

Aqui o perito irá descrever todos os procedimentos preliminares adotados e as evidências que foram constatadas. Incluindo o método e procedimentos preliminares.

Considerações e procedimentos preliminares em um laudo pericial se referem a uma etapa importante na elaboração do laudo, onde são descritas as circunstâncias iniciais do caso, bem como as ações realizadas pelo perito para garantir a integridade das evidências digitais coletadas. É nessa seção que o perito descreve a forma como o material foi obtido, o estado em que se encontrava e quais as ações tomadas para preservar sua autenticidade e integridade.

Um exemplo de considerações e procedimentos preliminares em um laudo pericial de computação forense seria o seguinte:

 

“Como perito em um caso de fraude eletrônica em uma empresa, algumas das considerações e procedimentos preliminares que adotei para garantir a integridade e autenticidade das evidências digitais coletadas incluem:

• Identificação dos equipamentos e mídias digitais recebidos para análise: recebi uma cópia do HD de um notebook e um pen drive, que supostamente continham informações relevantes para a investigação.
• Registro detalhado das condições em que as evidências foram coletadas e transportadas para a perícia: as evidências foram coletadas por um policial, que realizou uma busca e apreensão no local indicado pela empresa. Os dispositivos foram armazenados em embalagens de segurança lacradas com numeração específica.
• Verificação da integridade física das mídias digitais: os equipamentos foram testados para verificar possíveis danos ou falhas nos equipamentos, e foi constatado que o pen drive apresentava sinais de uso recente e que o notebook havia sido desligado abruptamente antes da coleta das evidências.
• Criação de cópias forenses das mídias digitais: foram criadas cópias forenses das mídias digitais coletadas usando ferramentas forenses devidamente validadas e registradas.”

Com essa descrição detalhada, o perito documenta as etapas iniciais da perícia e garante a integridade das evidências, além de preservar a cadeia de custódia dos dados.

6- Análise técnico periciais

De acordo com Grochocki e Franco (2016), é de extrema importância definir o método empregado na perícia e documentá-lo detalhadamente. A análise técnico-pericial consiste na aplicação de conhecimentos técnicos e científicos para a interpretação dos dados e informações coletados durante a perícia. Essa análise é fundamental para a produção de conclusões e respostas aos quesitos propostos no laudo pericial.

Um exemplo seria:

“Para essa análise, adotei os seguintes procedimentos:

• Utilizei ferramentas forenses especializadas para acessar e coletar os dados relevantes para a investigação.
• Analisei os arquivos encontrados nas mídias digitais e os comparou com as informações de registros e documentos fornecidos pelas partes envolvidas.
• Realizei uma verificação minuciosa das informações, como metadados de arquivos e informações de log, para identificar a autoria, autenticidade e integridade dos documentos digitais.
• Realizei uma análise comparativa dos dados obtidos com as informações prestadas pelos envolvidos e/ou com as normas e padrões legais aplicáveis ao caso em questão.
• Elaborei um relatório de análise técnico-pericial detalhando todas as informações coletadas e as conclusões alcançadas.

Com base nessas informações, pude elaborar conclusões precisas sobre o caso, respondendo adequadamente aos quesitos propostos pelas partes interessadas. Essa análise técnico-pericial foi fundamental para garantir a confiabilidade e validade das informações obtidas durante a perícia e para auxiliar a tomada de decisão do juízo competente no caso em questão.”

7- Conclusões / Resposta aos quesitos

Conclusões em um laudo pericial são as respostas claras e objetivas às perguntas feitas na seção de objetivo, bem como as conclusões finais sobre o caso. Elas devem ser baseadas em evidências coletadas e analisadas durante a perícia e apresentadas de forma clara e concisa. No item de conclusões o perito deve expressar o que conseguiu extrair do material periciado. Por exemplo:

“Com base nas evidências coletadas e analisadas, concluímos que:

1. O dispositivo digital examinado continha evidências de atividade suspeita, incluindo histórico de navegação em sites relacionados a atividades criminosas e arquivos contendo imagens e vídeos de cunho ilícito.
2. Foram encontradas evidências de que o suspeito tentou esconder ou apagar os dados comprometedores, incluindo o uso de software de limpeza de arquivos e alteração de datas e horários dos arquivos.
3. Com base nos dados de geolocalização encontrados nos dispositivos analisados, foi possível confirmar que o suspeito esteve presente no local do crime na data e hora do incidente.

Em resumo, as evidências analisadas são consistentes com a hipótese de que o suspeito está envolvido no crime em questão. As análises foram realizadas seguindo as normas e procedimentos técnicos aplicáveis, e os resultados são apresentados com o objetivo de auxiliar na investigação e apuração dos fatos.”

8 – Anexos

Anexos são documentos adicionais que podem ser anexados ao laudo pericial para fornecer informações complementares e relevantes ao caso. Esses documentos podem ser imagens, vídeos, arquivos de texto, planilhas, entre outros. Conforme Grochocki e Franco (2016), os anexos quando utilizados dotam de importância a um parecer técnico. Um exemplo de uso de anexos, seria:

Anexo 1 – Capturas de tela dos resultados do software de análise forense. Neste anexo são apresentadas as capturas de tela dos resultados obtidos pelo software de análise forense utilizado na investigação. As imagens mostram os dados encontrados em cada etapa da análise, incluindo o acesso a arquivos ocultos e dados de geolocalização. As informações contidas nesse anexo reforçam as conclusões apresentadas no corpo do laudo pericial.

Anexo 2 – Relatório de análise de tráfego de rede. Este anexo apresenta o relatório de análise de tráfego de rede realizado durante a perícia, que mostra o fluxo de dados entre os dispositivos utilizados pelo suspeito. O relatório detalha a quantidade de dados trocados entre cada dispositivo, horários e protocolos utilizados. As informações contidas nesse anexo são relevantes para a análise do comportamento do suspeito e sua possível participação no crime em questão.

 Os documentos processuais são fundamentais para a conclusão do processo investigativo uma vez que fornecem informações cruciais para a apuração dos fatos. Esses documentos podem ser registros de ocorrência, depoimentos, perícias técnicas, relatórios de análise, entre outros. Cada um deles traz informações específicas que contribuem para a compreensão dos eventos e para a construção da narrativa dos fatos.

A análise minuciosa desses documentos é fundamental para que o investigador possa identificar possíveis contradições, inconsistências e lacunas nas informações apresentadas. A partir daí, é possível fazer novas perguntas, solicitar novas perícias ou investigações e refinar a linha de investigação, até que se chegue a uma conclusão coerente com as provas apresentadas. Portanto, os documentos processuais são uma peça-chave para a construção do caso e para a tomada de decisões durante o processo.

 

[1]Disponível em: https://www.gov.br/mj/pt-br. Acesso em 10/01/2023.

[2]Resumo dos principais pontos de interesse da Norma ABNT/ISO 27.037:2013 em https://academiadeforensedigital.com.br/iso-27037-identificacao-coleta-aquisicao-e-preservacao-de-evidencia/

[3] https://www.youtube.com/watch?v=gP5EoaxhPsQ

[4] https://www.yeahhub.com/wp-content/uploads/2018/11/tcpdump_examples_yeahhub-8.png

[5] Disponível em: https://www.doutoriot.com.br/cloud-computing/o-que-e-nuvem/ . Acesso em 04 de fevereiro de 2023.

[6]Disponível em : https://aws.amazon.com/pt/. Acesso em: 04 de fevereiro de 2023.

[7] Google Cloud. Disponível em : https://cloud.google.com/?hl=pt-br . Acesso em 04 de fevereiro de 2023.

[8]Disponível em: https://truecrypt.sourceforge.net/ – Acesso em 26 de julho de 2023.

[9] LUKS – Linux Unified Key Setup. Disponível em: https://gitlab.com/cryptsetup/cryptsetup/-/wikis/LUKS-standard/on-disk-format.pdf. Acesso em 22 de fevereiro de 2023.

[10] https://hexeditor.softonic.com.br/?ex=DINS-635.3 – Acesso em 06 de março de 2022.

Bibliografia

ABNT. ABNT NBR ISO/IEC 27037: 2013. [S.l.]: [s.n.], 2013.

ARRUDA, G. H. M. D. Exames em imagens digitais. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millenium, v. 1, 2016. Cap. 6, p. 207-244.

AVILLA, D. Extração Lógica Avançada com Avilla Forensics 3.0. AFD – Academia de Forense Digital. [S.l.], p. 233. 2021.

BANDHARY, M. K. A. Learning Malware Analysis. Birmigham: Packt Publishing Ltd., 2018.

BARÃO, R. E.; VILAR, G. P. Exames em Malware. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millenium, v. 1, 2016. Cap. 12, p. 409-445.

CAMARGO, D. F.; RODRIGUES, T. Técnicas antiforenses. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: MIllenium, v. 1, 2016. Cap. 14, p. 477-505.

DANTAS, J. R. D. R. Exame em computação na nuvem. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 10, p. 341-373.

DIGITAL, A. D. F. Webinar Introdução à Coleta Forense de Evidências Digitais, 28 maio 2018. Disponivel em: https://youtu.be/EHUOKyc3DsQ. Acesso em: 20 dez. 2022.

FRANCO, D. P. et al. Introdução à Computação Forense. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 1, p. 1-36.

GARFINKEL, S. Antiforensics: Techniques, Detection and Countermeasures, Monterey, 2007., p. 77-84 Acesso em: 02 mar. 2023.

GONÇALVES, E. L. O.; NUNES, G. M.; FRANCO, D. P. Segurança e Defesa Cibernética. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millenium, v. 1, 2016. Cap. 15, p. 507-534.

GOOGLE. Documentação do Google Cloud. Google Cloud, 2008. Disponivel em: https://cloud.google.com/?hl=pt-br. Acesso em: 04 fevereiro 2023.

GROCHOCKI, L. R.; FRANCO, D. P. Documentos processuais – laudos, pareceres e relatórios. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 17, p. 565-594.

HARÁN, J. M. WeLiveSecurity. https: //www.welivesecurity.com/, 2019. Disponivel em: https://www.welivesecurity.com/br/2019/07/31/vazamento-de-dados-do-capital-one-expoe-informacoes-pessoais-de-106-milhoes-de-pessoas-nos-eua-e-canada/. Acesso em: 06 fevereiro 2023.

KUPPENS, L. L. Exames em dados criptografados. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 13, p. 447-476.

MENESES, L. Aula 07 disco rígido e mídias de armazenamento. slideshare, 2011. Disponivel em: https://pt.slideshare.net/leewanalves/aula-07-disco-rgido-e-mdias-de-armazenamento. Acesso em: 26 janeiro 2023.

MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Procedimento Operacional Padrão. gov.br, 2023. Disponivel em: https://www.gov.br/mj/pt-br/assuntos/sua-seguranca/seguranca-publica/analise-e-pesquisa/pop/procedimento-operacional-padrao. Acesso em: 10 jan. 2023.

NUNES, G. M. Exames em redes de computadores e dados de interceptação telemática. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millenium, v. 1, 2016. Cap. 5, p. 170-206.

PINHEIRO, P. P.; GROCHOCKI, L. R. Noções de direito cibernético. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 16, p. 535-564.

POLASTRO, M. D. C.; ELEUTÉRIO, P. M. D. S. Exames relacionado à pornografia infanto-juvenil. In: VELHO, J. A. E. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, 2016. Cap. 7, p. 246-287.

SANCHEZ, P. L. P. Exames em computação embarcada. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 8, p. 289-311.

SANTOS, L. F. D.; BARCELOS, B. D. Exames em detecção de intrusão. In: VELHO, J. A. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 11, p. 376-407.

VACCA, J. R. Computer Forensics: Computer Crime Scene Investigation. 2. ed. [S.l.]: Charles River Media., Inc., 2005.

VELHO, J. A. Tratado de Computação Forense. 1. ed. Campinas: Editora MIllenium, 2016. p. 606.

VRUBEL, A.; GROCHOCKI, L. R. Exames em equipamentos portáteis e telefonia móvel. In: VELHO, A. J. Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, v. 1, 2016. Cap. 9, p. 314-340.

Sobre o Autor

Assis Henriques – Pesquisador: Assis Henriques é Mestre em Ciência da Computação (Gestão de TI) com Especializações em Perícia Forense Computacional, Direito Cibernético, Gerência de Projetos pela Fundação Getúlio Vargas/FGV e em Gestão de Segurança da Informação e Comunicações pela UNB.  Atualmente é Analista de TI do Instituto Federal do Maranhão – IFMA no Núcleo de Infraestrutura.  Áreas de Interesse: Segurança da Informação, Proteção de Dados (LGPD), Perícia Forense Computacional, Gestão de T.I. e Data Analytics.