Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann

Metodologia para aquisição de evidências digitais no

modo Live Acquisition em computadores e
periféricos

Florianópolis
18/11/2009
 Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann

Metodologia para aquisição de evidências digitais no

modo Live Acquisition em computadores e
periféricos

Trabalho de Conclusão de Curso apresen-

tado à Banca Examinadora do Curso de
Pós-Graduação Lato Sensu em Gestão de
Segurança da Informação em redes de compu-
tadores. da Faculdade de Tecnologia do SE-
NAI/Florianópolis como requisito parcial para
obtenção do tı́tulo de especialista em Segurança
da Informação em redes de computadores sob a
orientação do Professor Gilmar Oliveira de As-
sis.

CTAI - SENAI

Florianópolis
18/11/2009
 Marcelo Roberto Paiva Winter e Guilherme Mendes Schlickmann

Metodologia para aquisição de evidências digitais

no modo Live Acquisition em computadores e periféricos

Trabalho de Conclusão de Curso apresentado à Banca Examinadora do Curso Pós-Graduação

Lato Sensu em Gestão de Segurança da Informação em redes de computadores, da Faculdade
de Tecnologia SENAI Florianópolis em cumprimento a requisito parcial para obtenção do tı́tulo
de especialista em Segurança da Informação em redes de computadores.

APROVADO PELA BANCA EXAMINADORA

EM FLORIANÓPOLIS, 18 DE NOVEMBRO DE 2009.

Prof. Gilmar Oliveira de Assis, Esp.,

SENAI/Florianópolis
Coordenador do Curso

AVALIADORES

Prof. Gilmar Oliveira de Assis, Esp.,

SENAI/Florianópolis
Orientador

Prof. Fabio Santana, Esp, SENAI

Avaliador
 Epı́grafe

”One should always look for a possible alternative and provide against it. It is
the first rule of criminal investigation.”
Sherlock Holmes – The Adventure of Black Peter
Sir Arthur Conan Doyle.
 Resumo

Roberto Paiva Winter, Marcelo. Metodologia para aquisição de evidências digitais no

modo Live Acquisition em computadores e periféricos. Florianópolis, 2009. Trabalho de
Conclusão de Curso (ESP) - Curso Pós-Graduação Lato Sensu em Gestão de Segurança da
Informação em redes de computadores. Faculdade de Tecnologia do SENAI, Florianópolis,
2009.
Mendes Schlickmann, Guilherme.Metodologia para aquisição de evidências digitais no
modo Live Acquisition em computadores e periféricos. Florianópolis, 2009. Trabalho de
Conclusão de Curso (ESP) - Curso Pós-Graduação Lato Sensu em Gestão de Segurança da
Informação em redes de computadores. Faculdade de Tecnologia do SENAI, Florianópolis,
2009.

Vive-se em uma era baseada na tecnologia e na informação. A tecnologia está presente em

todo aspecto da vida moderna, dentro das empresas e das casa. Hoje, um computador cabe na
palma da mão e através dele é possı́vel comunicar-se, fazer movimentações bancárias, baixar
arquivos . Isso em qualquer lugar do mundo com apensa um dispositivo móvel na mão. A era
da tecnologia traz cada vez mais benefı́cios, porém se utilizada de forma incorreta pode também
ser utilizada para cometer crimes. Quando crimes acontecem cabe a execução de perı́cias por
órgãos competentes. Estes inspecionam os dispositivos utilizados para cometer o delito como
fator probante, muitas vezes aprendem o item. O modo de execução desta perı́cia que é o foco
deste trabalho. Será abordado métodos convencionais e de conhecimento comum. E também
uma proposta de perı́cia onde a apreensão do artefato não é obrigatória.
Palavras-chave: crimes digitais, internet, perı́cia; forense; evidência.
 Abstract

Roberto Paiva Winter, Marcelo. Metodologia para aquisição de evidências digitais no

modo Live Acquisition em computadores e periféricos. Florianópolis, 2009. Trabalho de
Conclusão de Curso (ESP) - Curso Pós-Graduação Lato Sensu em Gestão de Segurança da
Informação em redes de computadores. Faculdade de Tecnologia do SENAI, Florianópolis,
2009.
Mendes Schlickmann, Guilherme.Metodologia para aquisição de evidências digitais no
modo Live Acquisition em computadores e periféricos. Florianópolis, 2009. Trabalho de
Conclusão de Curso (ESP) - Curso Pós-Graduação Lato Sensu em Gestão de Segurança da
Informação em redes de computadores. Faculdade de Tecnologia do SENAI, Florianópolis,
2009.

We live in an based era of technology and information. Technology is present in every

aspect of modern life, in business and at home. Today, a computer fits on a hand and through
it you can communicate to make bank t, download files. It anywhere in the world with just a
mobile device in hand. The time of technology brings more benefits, but if used in the wrong
order can also be used to commit crimes. When crimes happen lies in the implementation of
Expertise bodies. They inspect the devices used to commit the offense as a factor probative often
learn the item. The manner of execution of this skill is the focus of this work. Conventional
methods will be discussed and common knowledge. And also a proposal of expertise where the
seizure of the artifact is not mandatory.
Key Words: digital crimes, internet, forensics; evidence.
 Lista de Figuras

3.1 Trecho da publicação da denúncia. Fonte: Publicação 08-739/DOJ-US . . . . p. 24

3.2 Ordem de Volatilidade, segundo Dan Farner e Wietse Venema . . . . . . . . p. 29

3.3 Review of Incident Management Processes from Various Publications Fonte:

CMU/SEI-2004-TR-015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33

3.4 Review of Incident Management Processes from Various Publications Fonte:

CMU/SEI-2004-TR-015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 34

5.1 (Common findings of a forensic examination as they relate to specific crime

categories - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition) . . p. 52

5.2 (Common findings of a forensic examination as they relate to specific crime

categories - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition -
cont.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 53

5.3 (Common findings of a forensic examination as they relate to specific crime

categories - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition -
cont.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 54

5.4 (Modelagem da metodologia proposta) . . . . . . . . . . . . . . . . . . . . . p. 55

5.5 Referência à abordagem hı́brida - CERT . . . . . . . . . . . . . . . . . . . . p. 58

 Abreviaturas

• ACPO - Association of Chief Police Officers of England Wales and Northern Ireland

• CPU - Central Processing Unit

• DFRWG - Digital Forensics Research Working Group

• DFRWS - Digital Forensics Research Workishop

• DNA - Deoxyribonucleic Acid

• DoJ - U.S. Department of Justice

• HD - Hard Disk

• HTCIA - High Technology Crime Investigation Association

• NIJ - National Institute of Justice

• NW3C - National White Collar Crime Center

• IOCE - International Organization on Digital Evidence

• PDA - Personal Digital Assistant

• RCMP - Royal Canadian Mounted Police

• SWGDE - Scientific Working Group on Digital Evidence

 Sumário

1 INTRODUÇÃO p. 10

1.1 DELIMITAÇÃO DO TEMA . . . . . . . . . . . . . . . . . . . . . . . . . . p. 11

1.2 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.2.1 Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.2.2 Especı́ficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.3 JUSTIFICATIVA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12

1.4 ESTRUTURA DO TRABALHO . . . . . . . . . . . . . . . . . . . . . . . . p. 13

2 FUNDAMENTOS SOBRE A CIÊNCIA FORENSE p. 14

2.1 CIÊNCIA FORENSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 14

2.1.1 Um pouco de História . . . . . . . . . . . . . . . . . . . . . . . . . p. 14

2.1.2 Conceito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 18

2.1.3 Multidisciplinaridade . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19

2.1.4 A Ciência Forense nos dias atuais . . . . . . . . . . . . . . . . . . . p. 20

3 FORENSE COMPUTACIONAL p. 23

3.1 NOVOS TEMPOS, NOVOS CRIMES . . . . . . . . . . . . . . . . . . . . . p. 23

3.2 CONCEITO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24

3.3 LOCAL DE CRIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25

3.3.1 Local de Crime na Forense Computacional . . . . . . . . . . . . . . p. 26

3.4 EVIDÊNCIA DIGITAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26

3.4.1 A Volatilidade da Evidência Digital . . . . . . . . . . . . . . . . . . p. 27

 3.5 PROCEDIMENTOS FORENSES EXISTENTES . . . . . . . . . . . . . . . p. 29

3.6 MAPEAMENTO DO PROCESSO DE FORENSE DIGITAL . . . . . . . . . p. 35

3.6.1 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 35

3.6.2 Aquisição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37

3.6.3 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37

3.6.4 Análise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

3.6.5 Documentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

3.6.6 Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

4 PROPONDO MUDANÇAS p. 39

4.1 REFINANDO A METODOLOGIA DE COLETA SEM COMPROMETER

OS PRINCÍPIOS FORENSES . . . . . . . . . . . . . . . . . . . . . . . . . p. 43

4.2 METODOLOGIA TRADICIONAL DE COLETA

DE EVIDÊNCIAS - Bit-Stream Image . . . . . . . . . . . . . . . . . . . . . p. 44

4.2.1 Vantagens da imagem bit-stream . . . . . . . . . . . . . . . . . . . . p. 45

4.3 CUSTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45

5 METODOLOGIA PROPOSTA p. 48

5.1 DESCREVENDO A METODOLOGIA . . . . . . . . . . . . . . . . . . . . p. 48

5.2 BENEFÍCIOS ECONÔMICOS . . . . . . . . . . . . . . . . . . . . . . . . . p. 55

5.3 AVALIAÇÃO LEGAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 56

5.3.1 A confiabilidade da Metodologia Proposta . . . . . . . . . . . . . . . p. 59

5.3.2 Requisitos Autenticidade e Confiabilidade . . . . . . . . . . . . . . . p. 59

6 CONCLUSÃO p. 62

Referências Bibliográficas p. 64
 10

1 INTRODUÇÃO

Por vivermos em uma era baseada na informação, e estando esta embasada em sistemas
digitais que utilizam todo o aparato tecnológico disponı́vel, não podemos negar o avanço que
nos circunda dia após dia.

A tecnologia está presente em todo aspecto da vida moderna. Houve um momento que, um
computador somente, preenchia toda uma sala. Não há tecnologia que tenha se expandido tanto
nos últimos anos como a dos computadores. Hoje, um computador cabe na palma da mão, um
exemplo são os celulares, PDAs, Handheld’s, players de áudio e vı́deo.

Devemos estar conscientes de nossa dependência que, com uma utilização crescente aliado
ao surgimento e rápida ascensão da Internet, criaram um marco entre as relações humanas onde
trouxe, além do conforto e comodidade, o anonimato na comunicação e com ela, a sensação de
impunidade.

Essa nova intensificação do relacionamento humano pela internet, com a produção em série
dos computadores e consequente redução dos preços dos equipamentos e dos programas de
computação, além da expansão do comércio eletrônico e das relações financeiras e bancárias,
promove um uso indiscriminado e mundial dessa tecnologia, favorecendo em todos os aspectos
novas relações e modificando também as antigas, fazendo com que os atos ilı́citos e também
novas condutas ilı́citas, façam parte dessa nova realidade.

Os ataques não possuem linha de frente. As possı́veis vulnerabilidades e as formas de

ameaça estão se espalhando, antes restritas a especialistas e estudiosos, nos dias atuais estão
disponı́veis de forma gratuita na Internet.

A Forense Computacional envolve processos, incluindo a aquisição de dados oriundos de

um equipamento eletrônico, a análise do dado adquirido, a extração da evidência inclusa neste
dado, a preservação e apresentação desta evidência.

A Forense Computacional1 é requisitada durante a investigação de um crime eletrônico .

1 N.A. - Alguns autores já consideram chamar a Forense Computacional de Forense Digital, pelo motivo das
 11

O Instituto Nacional de Justiça dos Estados Unidos (NIJ) define crime eletrônico como qual-
quer tipo de crime envolvendo a tecnologia digital incluindo, mas não limitado, computadores,
PDA’s, discos rı́gidos (HD) externos, telefones celulares e câmeras digitais.

A demanda de perı́cias executadas em meio computacional é consequência direta da cres-

cente quantidade de ações ilegais que vem sendo executadas no mundo digital.

Como em qualquer investigação forense, os vestı́gios deixados na cena de um crime podem

provar algo, seja inocência ou culpa, e na Forense Computacional não é diferente.

1.1 DELIMITAÇÃO DO TEMA

Desde a invenção do microprocessador que a facilidade de acesso a dispositivos de arma-

zenamento e, de redes, é cada vez maior, e cada vez mais uma parte de nossas vidas diárias está
sendo gravada nos zeros e uns do mundo digital.

O Mundo passa hoje por uma revolução computacional e a criminalidade acompanha a

evolução tecnológica com computadores sendo utilizados como “armas” do crime ou os dispo-
sitivos de armazenagem para guardar evidências (ex. tráfico de drogas, pedofilia).

Os crimes praticados por meio de computador assumem uma caracterı́stica própria.

No decorrer dos últimos anos, a metodologia e os processos forenses que envolvem a

aquisição de evidências digital em computadores, se encontram consolidados. Diversos órgãos,
incluindo os não governamentais, enfatizam o processo de imagem de disco2 como sendo ga-
rantia de consistência, integridade e confiabilidade em relação ao disco original ou seja, a
evidência.

No passado, a perı́cia digital baseava-se em um computador apenas, com um único disco

rı́gido com pequena capacidade de armazenamento. Hoje, nos deparamos com múltiplos siste-
mas com múltiplos discos de alta capacidade, armazenagem em rede e encriptação de volumes.

O rápido crescimento e mudança no volume de dados armazenados com a popularidade dos

sistemas de redes corporativos e computadores pessoais faz com que a Ciência Forense comece
a revisar a metodologia de aquisição de dados digitais.

É necessário que a atividade pericial atue de forma mais dinâmica com o conhecimento das
perı́cias não ocorrem somente em um computador propriamente dito, mas também nos diversos dispositivos mi-
croprocessados.
2 Trata-se de uma cópia literal do disco rı́gido, uma clonagem conhecida como bit-a-bit. Chamamos a cópia de

imagem forense porque ela deve copiar todos os dados do HD, incluindo as partes não utilizadas.
 12

novas práticas delituosas.

Com isso, surge a necessidade de novas técnicas de abordagem e combate aos crimes:

Refinação na obtenção e utilização de evidências eletrônicas armazenadas em computado-

res e periféricos, através de procedimentos válidos e confiáveis para a recuperação e utilização
de evidências digitais que sejam legalmente defensáveis.

A adoção do modo Live Acquisition, seguindo as considerações descritas e apresenta-

das ao longo deste trabalho, possibilita ao Perito ou Cientista Forense, uma busca pontual
de evidências, sem a necessidade da tradicional cópia bit-a-bit (também conhecida como bit-
stream), corroborando na facilitação da perı́cia – diminuindo o tempo dedicado ao estudo e
análise do material probante, permitindo agilidade na elaboração de laudos mais sucintos, ob-
jetivos a um custo reduzido.

1.2 OBJETIVOS

Estão descritos a seguir o objetivo geral e objetivos especı́ficos.

1.2.1 Geral

Desenvolver método para aquisição de evidências digitais no modo Live Acquisition em

computadores e periféricos.

1.2.2 Especı́ficos

São objetivos especı́ficos deste trabalho:

• Estudar a pontualidade objetiva da perı́cia;

• Promover a quebra de paradigma: o não recolhimento de equipamentos;

• Avaliar Padrões Técnicos vs. Padrões Legais.

1.3 JUSTIFICATIVA

A Forense Computacional, por definição é o ramo da Criminalı́stica que compreende a

aquisição, preservação, restauração e análise de evidências computacionais.
 13

Neste sentido, a metodologia de Live Acquisition tem se mostrado uma alternativa de ampla
discussão, entre organismos que atuam na área, frente aos mecanismos tradicionais de aquisição
de imagem forense.

No entanto, para suportar os resultados de uma análise forense, os procedimentos e protoco-

los devem ser detalhados ou seja, documentados e revisados, aceitos pela comunidade cientı́fica
e relevante e ainda, que assegurem requisitos legais e técnicos à prova pericial.

Com isso, essa proposta tem a importância de otimizar a metodologia de Live Acquisition
de forma que permita a utilização de evidências digitais por diferentes jurisdições.

1.4 ESTRUTURA DO TRABALHO

Este trabalho está estruturado em 6 capı́tulos. No capı́tulo 1 são apresentados o tema abor-
dado, a problematização, os objetivos e justificativas para a realização da pesquisa.

No capı́tulo 2 será mostrado uma breve descrição da Ciência Forense, se evolução e con-
vergência tecnológica.

No capı́tulo 3 são abordados os conhecimentos sobre Forense Computacional, sua metodo-

logia, conceitos e práticas recomendadas.

No capı́tulo 4 discorremos sobre a metodologia atualmente praticada pelos peritos em fo-

rense digital, suas vantagens e custos.

No capı́tulo 5 apresentamos uma nova proposta às metodologias existentes, levando em

conta os preceitos econômicos e constitucionais como o Princı́pio da Eficiência e o Princı́pio da
Razoabilidade.

No capı́tulo 6 concluı́mos o presente Trabalho de Conclusão de Curso, onde explanamos os

resultados da metodologia proposta e previsões futuras.
 14

2 FUNDAMENTOS SOBRE A
CIÊNCIA FORENSE

2.1 CIÊNCIA FORENSE

“Ciência Forense descreve a ciência de associar as pessoas, lugares e coisas envolvidas em

atividades criminosas; estas disciplinas cientı́ficas e ajudicantes auxiliam na investigação de
casos civis e criminais.”(HOUCK, 2007, p.1)

2.1.1 Um pouco de História

Um dos princı́pios da justiça é que as pessoas devem pagar pelos seus atos, e tão somente
por aquilo que cometeram. Julgar uma pessoa pelos seus antecedentes é humanamente justi-
ficável. Mas a justiça atual não permite que se faça, como a expressão popular diz, “justiça com
as próprias mãos”, sem ficarmos impunes. Ela coı́be este tipo de ação e se atém aos fatos e pro-
vas, a fim de aplicar as eventuais punições previstas em lei. Certo ou não, as coisas funcionam
assim, é na aquisição e análise de provas que a ciência forense entra na história.

A ciência forense traçou um longo caminho desde quando os chineses usaram as impressões
digitais para determinar a identidade de documentos e esculturas em argila.

Vem da China o primeiro registro da Ciência Forense, durante o reinado da dinastia Tang.
No século VII, o chinês Si Yuan Lu, tornou-se famoso ao fazer uso dos vestı́gios do crime para
resolvê-los, e também da lógica, apesar de utilizar métodos e ferramentas diversos do que os
praticados atualmente.

Ainda na China, em meados do século XIII, foi escrito o primeiro livro de medicina legal.
Seu autor, o juiz Song Ts’Eu, descreveu a forma de distinguir afogamento de estrangulamento e
também de como, através dos ferimentos, poderia se chegar a determinar o tipo e o tamanho da
arma utilizada no crime. Foi o primeiro registro de aplicação dos conhecimentos médicos para
a solução do crime.
 15

No Ocidente, os cientistas forenses foram precedidos pela figura dos Peritos Louvados que
eram nomeados por papas, reis, imperadores etc., com o intuito de emitirem opiniões sobre
determinados assuntos.

Segundo Zarzuela (2000, p.33)

“... as leis Capitulares, Sálicas e Germânicas, determinavam a interferência do

médico nas ocorrências de lesão corporal, suicı́dios, violências sexuais, bestia-
lismos etc. As Decretais do papa Gregório IX exigiam exames médicos para a
comprovação de impotência, aborto e lesão corporal. Carlos V, em 1532, pro-
mulgou o Código Carolino que outorgava aos assuntos médicos uma posição
destacada no campo jurı́dico, fixando normas a respeito de delitos de violação,
envenenamento etc., dispondo também que antes do cadáver ser inumado, nos
casos de mortes violentas, fosse examinado por cirurgiões, a fim de que pu-
dessem emitir opinião sobre a etiologia1 da morte. Em casos dessa natureza,
no passado procedia-se a Louvação, isto é, à escolha de louvados para que
emitissem pronunciamentos técnicos.”

Vários paı́ses da Europa, em virtude da grande repercussão do Código, vieram a adotar tais
procedimentos, ou seja, a necropsia e o laudo pericial. Em dois paı́ses essas mudanças foram
mais profundas. Na Inglaterra, houve a mudança da função de coroner, de coletor de impostos
para perito. Na França, foram editados vários dispositivos legais, como as Ordenanças de 1536,
1539, 1579 e 1670 (Leis de 1556, 1606 e 1667). Dentre o que foi implementado por esta classe,
destacamos

A ciência forense emergiu durante o século XIX, época em que muitos fatores influenciaram
a sociedade. Cidades europeias e americanas foram crescendo em tamanho e complexidade.
Pessoas que eram acostumadas a conhecerem todos no seu bairro ou aldeia, foram encontrando
cada vez mais pessoas novas e diferentes. Transeuntes e vigaristas, viajavam de cidade em
cidade, cometendo crimes e se tornando invisı́veis na multidão. Criminosos reincidentes que
queriam fugir da Lei só tinham que se deslocar para uma nova cidade, dar um nome falso, e
ninguém saberia do seu passado.

Tornou-se importante para o Governo ser capaz de identificar os cidadãos, uma vez que
poderia não ser capaz de confiá-los a prestar a sua verdadeira identidade.

Segundo Calazans(2005, p.3)

Em 1602, em Portugal, a publicação das Ordenações Filipinas ampliou os ca-

sos onde a participação de peritos era necessária. Além disso, foi criado um
órgão privativo para essa função, separado do órgão judiciário, mas auxiliar
deste. Foi o que seria o primeiro Instituto de Criminalı́stica, embora o termo
só viesse a surgir três séculos depois.
1 Ciência que estuda as causas, as origens das coisas.
 16

Em 1609, o primeiro documento tratando sobre exame sistemático foi publicado em França.
Depois, em 1784, foi documentado um dos primeiros usos de correspondência fı́sica, onde se
viu um inglês condenado por homicı́dio com base na borda rasgada de uma página de jornal
presa em uma pistola, borda esta que correspondeu com o pedaço restante encontrado em seu
bolso.

Diversas descobertas técnico-cientı́ficas, que surgiram paralelamente, vieram a corroborar

com a ciência forense na elucidação de crimes. No final do século XVI, um holandês, Za-
charias Jansen, inventou o microscópio, largamente utilizado até os dias atuais para análise e
esclarecimento de alguns tipos de vestı́gios.

No final do século XVIII, as armas começaram a ser produzidas com almas raiadas. No
século XIX, devido a esta caracterı́stica, Henry Godard conseguiu relacionar um projétil com a
arma utilizada. [Luque apud Calazans, 2005, p.2]

Outra invenção significativa foi a fotografia, criada em 1826. Ela foi utilizada, desde o inı́cio
para retratar provas e evidências na cena do crime, bem como registrar detalhes de ferimentos e
suspeitos.

Em 1886 um policial de Nova York, Thomas Byrnes, publicou a primeira coleção de fotos
de procurados pela justiça (criminosos), visando facilitar o reconhecimento possı́veis suspeitos.
Tal prática vem sendo adotada até os dias de hoje.

No final do século XIX, estudos realizados por Sir Francis Galton revelaram que as im-
pressões digitais são únicas e não mudam com a idade. Já em 1858, William Herschel, um
oficial britânico a serviço na Índia, utilizou impressões de tinta dos dedos e mãos como assina-
turas em documentos para pessoas que não sabiam escrever. Era desconhecido para Herschel
que no Japão, os contratos eram fechados utilizando um polegar ou impressões digitais durante
séculos.

Durante a década de 1890, a Scotland Yard, Polı́cia Metropolitana de Londres, começou

a utilizar um sistema desenvolvido por um oficial da polı́cia francesa chamado Alphonse Ber-
tillon. O sistema de Bertillon consistia de uma fotografia e 11 medidas corporais que incluia
dimensões da cabeça, comprimento de braços, pernas, pés, mãos, e assim por diante. Bertillon
alegou que a probabilidade de duas pessoas terem as mesmas medidas para as 11 caracterı́sticas
era de uma em 250 milhões.

Em 1894, as impressões digitais, que eram mais fáceis de usar e mais exclusivas (mesmo
gêmeos idênticos têm diferentes impressões digitais), foram adicionados ao sistema de Bertil-
lon.
 17

Coube a um jovem juiz de instrução2 alemão a sistematização dos conhecimentos cientı́ficos

e técnicos que se aplicavam na investigação criminal da época. Hans Gross deu-se conta da
falta de conhecimentos de ordem técnica da maioria dos juı́zes, e que deveriam ser requisitos
indispensáveis para desempenhar com eficácia o cargo de instrutores, e escreveu o “Manual do
Juiz de Instrução”, cuja primeira edição foi impressa em 1894. Na 3a edição já apresentava
um sub-tı́tulo “Sistema de Criminalı́stica”, onde pela primeira vez era empregado esse termo.
[VILLALOBOS apud CALAZANS, 2005, p.5]

Talvez o nome de maior destaque na Ciência Forense seja de Edmond Locard, médico
francês que foi, enquanto estudante, aluno de Bertillon e depois, assistente de laboratório de
Alexandre Lacassagne3 antes de fundar o Instituto de Criminalı́stica da Universidade de Lyon,
França em 1910. Dr. Locard, assim como o Dr. Hans Gross e Bertillon antes dele, defenderam
a aplicação de métodos cientı́ficos e a lógica para a investigação e identificação criminal.

Seu trabalho é considerado o marco da Ciência Forense, pois provocou uma reviravolta na
metodologia da investigação criminal. Locard partiu do princı́pio de que quando um indivı́duo
entra em contato com um objeto ou outro indivı́duo, sempre deixa vestı́gio desse contato.

Dr. Locard, no capı́tulo 03 de seu livro Manuel de Technique Policière, Paris: Payot,
1923, faz a seguinte observação: ”Il est impossible au malfaiteur d’agir avec l’intensit que
suppose l’action criminelle sans laisser des traces de son passage”, que traduzindo teremos:
“É impossı́vel para um criminoso agir, especialmente considerando a intensidade de um crime,
sem deixar traços de sua presença” .[CHISUN e TURVEY, 2000]

Assim, foi criado um dos princı́pios fundamentais da Ciência Forense, o Princı́pio da Troca
de Locard ou simplesmente, o Princı́pio de Locard que, em suma é lembrado sempre pela
máxima: quando dois objetos interagem, alguns indı́cios da interação podem ser encontrados
mais tarde e verificados, ou seja, cada contato deixa seu rastro.

Desse modo, atribui-se a Alphonse Bertillon, Alexandre Lacassagne, Hans Gross e Edmond
Locard, a aplicação da lógica e métodos cientı́ficos na investigação de crimes, e o tratamento
dos vestı́gios de forma cientı́fica.
2 Na Alemanha dessa época, era costume os juı́zes em inı́cio de carreira passar pela função de Juiz de Instrução,
o que corresponde (guardadas as devidas proporções), às funções atuais de perito.
3 Alexandre Lacassagne - Professor de Medicina Legal e de Criminologia na cidade de Lyon, na França . Em

1886, ele criou os arquivos de Antropologia Criminal e é considerado o pai de tal ramo da ciência.
 18

2.1.2 Conceito

Antes de iniciar a discorrer sobre conceitos, é útil analisar as principais palavras que compõe
a Ciência Forense e suas definições. As seguintes palavras são definidas no dicionário Aurélio
(Ferreira, 2004):

• Forense – 1. Respeitante ao foro judicial.2. Judicial.

• Ciência – 1. Conhecimento. 3. Conjunto de conhecimentos socialmente adquiridos

ou produzidos, historicamente acumulados, dotados de universalidade e objetividade que
permitem sua transmissão, e estruturados em métodos, teorias e linguagens próprias, que
vizam compreender e, possivelmente, orientar a natureza e atividades humanas.

• Crime – 1. Violação culpável da lei penal; delito. 4. Qualquer ato que suscita a reação
organizada da sociedade. 5. Ato digno de repreensão ou castigo.

• Cena – 10. Acontecimento dramático ou cômico. 11. Ato mais ou menos censurável ou
escandaloso. 12. Panorama, paisagem.

• Exame – 1. Ato de examinar, interrogatório. 3. Inspeção, revisa, vistoria. 4. Investigação,

pesquisa, observação ou análise de alguma coisa ou, dum fato.

• Investigação – 1. Ato ou efeito de investigar; busca, pesquisa. 2. Indagação minunciosa;

indagação, inquirição.

• Investigador – 1. Que investiga; investigante. 2. Aquele que investiga. 3. Agente de

polı́cia.

É possı́vel verificar, a partir das definições encontradas no dicionário, que as palavras

’Exame da cena do crime”e ”Investigação da cena do crime”são intercambiáveis, no entanto, o
uso da palavra ”exame”refere-se à identificação, registro e coleta de evidências, enquanto o uso
do termo ”Investigação”não somente se refere à identificação, registro e coleta de evidências,
mas inclui a interpretação das circunstâncias que a envolveram no cometimento de crime por
reconstruir o incidente para determinar uma seqüência de eventos que pode revelar um ”modus
operandi”. Investigação também inclui o suporte cientı́fico sobre outras áreas especializadas da
ciência forense, como veremos a diante, na investigação policial.

A Forense, como ciência, possui diversas conceituações como as que seguem:

Sêmola (2007) cita em seu artigo, que Ciência Forense é uma área interdisciplinar que
aplica um amplo espectro de ciências com o objetivo de dar suporte - respondendo perguntas -
 19

às investigações relativas ao sistema legal, mais precisamente ligadas à justiça civil e criminal.
Entre seus desafios está a identificação do crime, o rastreamento das etapas que o precederam, a
localização e preservação de evidências e a geração de documento de suporte legal.[IDGNOW,
2007]

Em geral, tem-se que, Ciência Forense é um campo da ciência dedicada à coleta e análise
metódica das provas a fim de criar fatos que podem ser apresentados em um processo legal.

Para a Sociedade de Ciência Forense, com base no Reino Unido, resume-se na busca e
análise de traços fı́sicos que possam ser úteis para estabelecer ou excluir uma associação entre
uma pessoa suspeita de cometer um crime e da cena do crime ou vı́tima.

Houk, descreve que Ciência Forense é uma ciência histórica, como geologia, arqueologia,
ou astronomia, e os cientistas forenses reconstroem um evento criminoso ocorrido no passado
através de provas fı́sicas.(HOUCK, 2007)

Martinez, apud Calazans (2005, p.6) define que a “Ciência Forense proporciona os princı́pios
e técnicas que facilitam a investigação do delito, em outras palavras; qualquer princı́pio ou
técnica que pode ser aplicada para identificar, recuperar, reconstruir ou analisar a evidência
durante uma investigação criminal, é parte da Ciência Forense”. Ainda, “a Ciência Forense pro-
porciona métodos cientı́ficos que possibilitarão a análise das evidências disponı́veis. Ela cria
hipóteses sobre o ocorrido para criar a evidência e realiza provas, controles para confirmar ou
contradizer essas hipóteses.

A Ciência Forense se baseia em duas grandes premissas. Em primeiro lugar, os cientistas

forenses, comumente chamados de peritos, trabalham tendo como base o já citado Princı́pio
da Troca de Locard. Em segundo lugar, na tentativa de identificar um indivı́duo, os peritos
trabalham com a noção de que na natureza não há dois indivı́duos idênticos, ou seja, todos
nós somos indivı́duos únicos. É nesta segunda premissa que o trabalho do perito tem por fim
especı́fico a pesquisa nos vestı́gios do fato criminoso, a fim de obter os elementos necessários
para formalizar o exame de corpo de delito, produzindo a prova para instruir o processo penal.

2.1.3 Multidisciplinaridade

A visão contemporânea define ciência forense como sendo a aplicação da ciência para o
Direito. Esta área é uma das poucas áreas do Direito onde a ciência, a tecnologia e a investigação
para a resolução de um crime interagem.

A Ciência Forense é definida como uma ciência multidisciplinar, porque utiliza-se muitas
 20

vezes de subsı́dios de outras ciências para a devida análise de um possı́vel vestı́gio, pois assim
como o Juiz recorre a vários elementos para formar sua convicção e aplicar a lei da melhor
forma possı́vel, o profissional forense se vale do conhecimento nos mais diversos ramos da
ciência para melhor análise dos indı́cios encontrados na cena de um crime. CALAZANS(2005,
p.6)

O assunto é ainda sub-dividido em diversas disciplinas: papiloscopia, identificação veicular,

fonética forense, biologia forense, balı́stica forense, quı́mica forense, localı́stica, documentos-
copia, engenharia forense, computação forense e demais áreas da criminalı́stica.

Para auxiliar a Ciência Forense no esclarecimento de um crime, todas as demais ciências po-
dem ser empregadas, utilizando-se do conhecimento de profissionais com formação acadêmica
nos diversos ramos da ciência, bem como das suas próprias técnicas que estabelecem diversas
metodologias para a execução dos exames periciais, o que caracteriza a multidisciplinaridade
dessa ciência.

2.1.4 A Ciência Forense nos dias atuais

A ciência forense é reconhecida hoje como um ingrediente essencial para a aplicação da

lei e da solução de crimes. Proteger o local do crime de contaminação, o recolhimento e
interpretação de provas com precisão tornaram-se alguns dos ingredientes mais crı́ticos na
resolução de crimes.

Como resultado, os avanços tecnológicos estão sendo aplicados ao finito e exigente campo
da ciência forense, um campo em que a competência técnica é alcançada somente pela sı́ntese
de uma série de fatores, incluindo a formação, experiência, fiscalização, educação continuada,
e de proficiência, uma apreciação de métodos cientı́ficos e protocolos projetado num contexto
de rigorosa ética profissional.

Novas técnicas, nos mais variados ramos da ciência estão propiciando à Forense o auxı́lio
necessário na elucidação de crimes.

O exame de DNA (ácido desoxirribonucléico) por exemplo, tido como a maior revolução
cientı́fica na esfera forense desde o reconhecimento das impressões digitais como uma carac-
terı́stica pessoal. O DNA de cada indivı́duo contém informações genéticas relativas somente a
este, o que torna possı́vel identificar a sua origem.(ICC-PR,2008)

A Informática também chegou de maneira decisiva no auxı́lio à Ciência Forense. O de-

senvolvimento tecnológico vem atuando como condição sine qua non na investigação criminal.
 21

Softwares e computadores potentes podem ajudar na identificação de criminosos de maneira ve-

locı́ssima, rastrear evidências como conversas telefônicas, tornar nı́tidas imagens da cena de um
crime com os respectivos envolvidos. Ajudar na reconstrução facial de vı́timas desconhecidas, a
fim de possibilitar o esclarecimento de crimes outrora insolúveis, enfim, trata-se de um caminho
de infinitas possibilidades que certamente só ajudarão ainda mais no trabalho criminalı́stico.

A espectrografia por exemplo, análise de áudio através dos espectros de freqüência, utili-
zada na fonética forense tem auxiliado os cientistas forenses no exame de verificação de au-
tenticidade de registros de áudio e, consequentemente, na identificação de interlocutores, bem
como no entendimento e compreensão de determinadas palavras.

A matemática aliada à computação, tem possibilitado à ciência, inúmeros avanços quando

se trata da apuração da verdade, como a possibilidade da reconstituição da cena de crime através
da computação gráfica em 3D, o reconhecimento facial por imagem, sem contar no grande
auxı́lio prestado nas áreas de Documentoscopia e Grafologia.

Porém, todo esse advento tecnológico aliado ao surgimento e rápida ascensão da Internet
trouxe, além do conforto e comodidade, o anonimato na comunicação e com ela, a sensação de
impunidade.

Computadores permitem aos criminosos invadir a privacidade e confidencialidade dos in-

divı́duos e das empresas e, permanecem relativamente anônimos, de maneira que não era possı́vel
antes do advento da era computacional. As provas desses crimes não são nem fı́sica nem hu-
mana, mas, se elas existem, são um pouco mais do que impulsos eletrônicos e códigos de
programação.

Tanto a máquina quanto a rede são criações humanas e, como tais, têm natu-
reza ambivalente, dependente do uso que se faça delas ou da destilanação que
se lhes dê. Do mesmo modo que aproxima as pessoas e auxilia a disseminação
da informação, a Internet permite a prática de delitos à distância no anoni-
mato, com um poder de lesividade muito mais expressivo que a criminalidade
dita convencional, n’alguns casos. (Aras, Crimes de informática. Uma nova
criminalidade)

Os crimes praticados por meio de computador, assumem uma caracterı́stica própria. De

fato, o sentimento de anonimato - ainda que haja a evidência eletrônica - apresenta carac-
terı́sticas próprias e complexas, exigindo conhecimento especializado na sua coleta e utilização.
Além disso, é da natureza do próprio meio a volatilidade e fragilidade que, curiosamente, se
entrelaçam com a facilidade da recuperação de “rastros” e outros indı́cios tı́picos.

“A convergência entre crimes e tecnologia da informação se torna realidade, e antes dois

assuntos que sequer tinham relação hoje estão extremamente integrados.” NG (2007, p.3)
 22

Com isso, é necessário que a atividade pericial também evolua, atuando de forma mais
dinâmica com o conhecimento das novas práticas delituosas.
 23

3 FORENSE COMPUTACIONAL

3.1 NOVOS TEMPOS, NOVOS CRIMES

No final dos anos 80, os computadores pessoais possibilitaram um ambiente de trabalho

mais eficiente, e de forma lenta e segura eles encontraram o caminho das residências e tornaram-
se computadores pessoais. Placas gráficas e monitores coloridos juntamente com o modem e
os softwares de comunicação, permitiram ao usuário de computador pessoal, democratizar o
conhecimento, incluindo as atividades legais e ilegais.

É crescente o número de indivı́duos que utilizam computadores pessoais por conveniência,

educação e entretenimento.

Os fabricantes de computadores introduzem periodicamente no mercado, novos tipos e ta-

manhos de dispositivos de armazenamento de dados e o volume de dados armazenados no
mundo cresce exponencialmente. Grande parte desses dados armazenados são confidenciais
e sensı́veis, não importando se são de natureza pessoal, empresarial ou governamental. Es-
tas informações são copiadas mais facilmente e mais rapidamente se comparadas com outro
sistema de arquivo que não seja o eletrônico.

“Hoje, apenas alguns minutos transcorrem entre conectar-se à Internet e ser

atacado por alguma outra máquina – e isso é apenas o ruı́do de fundo dos
ataques sem um alvo especı́fico.”[FARMER, 2007]

Um dado alarmante é a posição em que se encontra o Brasil: figura entre os quatro paı́ses do
mundo com maior números de hackers1 e crackers2 e aparece nos jornas internacionais como
referência em determinados tipos de ataques.[TOTAL SECURITY, 2004]

O Brasil continua dispontando com relação a hackers e crackers, como pode ser verificado
na denúncia realizada pela justiça federal americana de New Orleans no mês de agosto de
1 Hacker: São hackers, os indivı́duos que elaboram e modificam software e hardware de computadores, seja
desenvolvendo funcionalidades novas, seja adaptando as antigas.
2 Cracker: Cracker é o termo usado para designar quem pratica a quebra de um sistema de segurança, de forma

ilegal ou sem ética.

 24

Figura 3.1: Trecho da publicação da denúncia. Fonte: Publicação 08-739/DOJ-US

2008, onde um brasileiro foi denunciado no crime de conspiração para infectar mais de 100 mil
computadores na internet com software malicioso conforme consta na publicação 08-739/DoJ-
US. (Figura 3.1)

“A eliminação de fronteiras oferecida pela Internet gerou um grande problema

para as instituições de combate ao crime, uma vez que facilitou em muito a
ocorrência de crimes eletrônicos onde a vı́tima e o criminoso encontram-se em
paı́ses distintos. (. . . )“[Guimarães et al, 2001, p.1]

A forense computacional fornece hoje, suporte a investigações envolvendo tráfico de dro-

gas, lavagem de dinheiro, pedofilia, assassinatos, suicı́dios, fraudes financeiras, e tantos outros
crimes e contravenções que outrora não se imaginava possı́vel o cometimento tendo como fer-
ramenta o computador.

Como podemos observar, a Forense Computacional foi criada para atender às necessidades
e especificidades para uma melhor aplicação da Lei nesta nova forma de evidência eletrônica.

3.2 CONCEITO

Diversos autores descrevem forense computacional como o processo de investigação de

eventos não-autorizados através da coleta, autenticação e análise das informações relacionadas.

Para Noblett (2000), Forense computacional é o ramo da criminalı́stica que consiste no uso
de métodos cientı́ficos na preservação, coleta, restauração, identificação, análise, interpretação,
documentação e apresentação de evidências computacionais, quer sejam componentes fı́sicos
ou dados que foram processados eletronicamente e armazenados em mı́dias computacionais

Sêmola (2007) comenta que, dentro do contexto eletrônico, também chamada de Forense
Digital ou Computer Forensics, podemos descrevê-la como a ciência que realiza inspeções
 25

sistemáticas em sistemas de computador e suas informações para evidenciar ou suportar a

evidência de crime. Forense Digital requer conhecimento especializado passando pela simples
coleta de dados e a preservação de prova até ambientes eletrônicos, redes de computadores,
sistemas operacionais e aplicações que exigem do perito, além de conhecimento especializado,
ferramentas que o auxilie nas diferentes etapas da investigação, assim como o que ocorre com
a perı́cia criminal tradicional, que lança mão de luvas, lupas, microscópios e demais aparatos
para identificar trajetórias, digitais e outros elementos de investigação.

Já Pires (2003) afirma que a Forense Digital pode ser definida como uma área de co-
nhecimento que se utiliza de métodos elaborados e comprovados cientificamente visando a
preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação
de evidências digitais com o propósito de facilitar ou permitir a reconstituição de procedimentos
de natureza criminosa que ocorram em equipamentos digitais.

3.3 LOCAL DE CRIME

Carlos Kehdy, apud Quintela (1995, p.8) define local de crime como “. . . toda a área onde
tenha ocorrido qualquer fato que reclame a presença da polı́cia.

Segundo Horswell [2004, p.32]:

“ (. . . ) Qualquer lugar poderia tornar-se local do crime e é normalmente um

local onde um crime ou um incidente tenha ocorrido e que pode acabar num
processo judicial .”

Ainda Eraldo Rabello apud Quintella [1995, p.8]:

“ (...) a porção do espaço compreendida num raio que, tendo por origem o
ponto no qual é constatado o fato, se extenda de modo a abranger todos os lu-
gares em que, aparente, necessária ou presumivelmente, hajam sido praticados,
pelo criminoso, ou criminosos, os atos materiais, preliminares ou posteriores,
à consumação do delito, e com este diretamente relacionados.”

Os Crimes Informáticos também deixam vestı́gios, e como se sabe, sempre que o crime
deixa vestı́gios materiais, é necessária a presença do Perito no local, cf. art. 158 do Código de
Processo Penal, para em analisando e interpretando as evidências, possa correlacionar os fatos
que ali se desenrolaram.
 26

3.3.1 Local de Crime na Forense Computacional

Com a corrida tecnológica, dia a dia os dispositivos de armazenamento e acesso à internet

estão se tornando menores, mais baratos, mais rápidos, com maior portabilidade e com uso
amplamente difundido. O crescente número de usuários da internet – cerca de 1,5 Bilhão3 – é
outro fator a ser considerado e que está mudando totalmente a investigação da cena do crime.
Na internet, não há como se passar uma fita amarela na cena do crime, isolando-a, tampouco
identificar de imediato a origem e autoria do crime.

É possı́vel identificar a data e hora do evento. No entanto, é extremamente complicado

provar quais dedos estavam no teclado naquele momento.

Se a disciplina Criminalı́stica aproveita os métodos inerentes à Ciência da Computação, é

de se esperar que o conceito de local de crime, tão importante à primeira, recepcione as pecu-
liaridades observadas na segunda, formando assim, uma amálgama indissociável. De qualquer
modo há influência de parte a parte, pois se a ciência orienta a disciplina, esta por sua vez, lhe
empresta relevância social.

O local de crime que envolve um incidente informático é uma das poucas, senão a única,
cena de crime que pode estender-se por todo o planeta. Ignorando por hora as questões jurı́dicas
e filosóficas de onde o crime ocorreu (foi no computador da vı́tima ou no computador de ori-
gem?), pode-se encontrar provas importantes em ambas as extremidades e no meio. O inı́cio
da investigação não é o momento para se tentar descobrir a autoria. Deve-se tratar todos os en-
volvidos: computadores, periféricos, dispositivos de comunicação ou demais dispositivos como
parte da cena do crime até poder diferenciá-los.[STEPHENSON, 2000]

3.4 EVIDÊNCIA DIGITAL

É comum haver duas situações para designar o objetivo de um exame forense: resolver um
crime digital ou um incidente de segurança [dos Reis, 2002, p.1].

Na resolução de um crime digital, a forense busca ater-se a questões legais quanto às
evidências, procurando por provas que possam ser utilizadas em um processo criminal. Já
um incidente de segurança geralmente está relacionado a contextos organizacionais, onde o ob-
jetivo principal de uma análise forense é entender o incidente ocorrido, buscando suas causas
através de evidências, afim de evitar que o fato venha ocorrer novamente.
3 Estatı́stica da Internet no Mundo – fonte : http://www.tnbrasil.com.br/estatisticas
 27

E ambas as situações, os objetivos da forense computacional são a busca e análise das

Evidências. No dicionário Aurélio [Ferreira, 2004] :

• Evidência real: qualquer objeto fı́sico que pode ser levado até o Tribunal. A evidência
real pode ser tocada, segurada ou observada diretamente de outra maneira. Resumindo,
uma evidência real responde por ela mesma. No contexto de Forense Computacional, o
computador pode ser apresentado como evidência fı́sica.

• Evidência documental: muitas evidências utilizadas para provar algo são documentos
escritos. Algumas evidências incluem arquivos de registros (logs), bases de dados e um
arquivo especı́fico relatando a ocorrência de um incidente. Toda evidência documental
deve ser autenticada, porque qualquer um pode criar um arquivo de dados arbitrário com
o conteúdo desejado. Portanto, deve-se provar que a evidência foi coletada apropriada-
mente e que os dados contidos provam o fato.

• Evidência demonstrativa: muitos tipos de evidências computacionais fazem sentido

para o pessoal técnico, porém sôa completamente diferente para os demais. A evidência
demonstrativa ilustra, ajuda na explanação ou demonstra outra evidência. Muitas vezes,
a evidência demonstrativa consiste em algum tipo de ajuda visual.

No contexto da forense computacional, evidência digital é toda informação armazenada

ou transmitida de forma eletrônica ou magnética. Em outras palavras, evidência digital é todo
objeto que contém informação que ateste ou refute uma hipótese.

3.4.1 A Volatilidade da Evidência Digital

Os dados contidos em uma evidência digital, por sua natureza, são voláteis, fáceis de serem
apagados, o que requer maior cuidado na manipulação e preservação das evidências. Por outro
lado, evidências digitais são fáceis de serem duplicadas com exatidão [DOS REIS, 2002].

Como impressões digitais, as evidências digitais podem ser visı́veis (como arquivos grava-
dos em disco que podem ser acessados via estrutura normal de diretórios usando um gerenci-
ador de arquivos como o MS-Windows Explorer), ou podem ser latentes (não sendo visı́veis
ou acessı́veis, requerendo algum processo de busca – via software ou técnicas especiais – para
localizá-la e identificá-la).

O Instituto Nacional de Justiça (NIJ) do Departamento de Justiça (DoJ) dos Estados Unidos,
em seu Guia NCJ 219941, que trata de investigação de crime eletrônico orienta:
 28

”... Ao lidar com evidências digitais, os princı́pios gerais da ciência forense e

seus procedimentos devem ser aplicados:
a. O processo de coleta, proteção e transporte da evidência digital não pode
modificá-la;
b. A evidência digital somente deve ser examinada por pessoas especialmente
treinadas par tal propósito;
c. Tudo que for feito durante a apreensão, transporte e armazenamento de da-
dos digitais devem ser devidamente documentados, conservados, e dis-
ponı́veis para revisão.”[NCJ 219941, 2008]

A Associação dos Oficiais Chefes de Polı́cia do Reino Unido, em seu /textitGuia de Boas
Práticas para Evidências Eletrônicas baseadas em Computador [ACPO, 2007] descreve:

“ (. . . ) Evidências eletrônicas são valiosas e serão consideradas evidências se

tratadas da mesma forma que as evidências forenses tradicionais – com res-
peito e cuidado. Os métodos de recuperação de evidências eletrônicas , man-
tendo a integridade e autenticidade probatória, pode parecer complexo e dis-
pendioso, mas a experiência tem demonstrado que, se for tratada corretamente,
ela irá produzir prova incontestável e simultaneamente rentável.”

A localização e identificação de uma evidência torna-se mais complicada quando levamos

em consideração uma rede de computadores. Devido à natureza dinâmica da rede, um local
usado na internet para cometer crimes pode ser diferente ou ausente no dia seguinte.

Um dos maiores desafios do analista forense é uma evidência dinâmica. Evidência dinâmica
é qualquer influência que muda, transfere, obscurece, ou elimina uma evidência, independente-
mente das intenções, entre o momento em que ela é transferida, bem como no momento em que
o caso é julgado.[CHISUM e TURVEY, 2000]

De fato, o sentimento de anonimato - ainda que haja a evidência eletrônica - apresenta carac-
terı́sticas próprias e complexas, exigindo conhecimento especializado na sua coleta e utilização.

Segundo Farmer (2006), embora informações dinâmicas sejam um pouco mais voláteis, e,
portanto, suspeitas, quaisquer condenações com base em uma única série de leituras dos dados
também são suspeitas.

Dentro deste cenário, surge o conceito de ordem de volatilidade, introduzido por Dan Farner
e Wietse Venema, que é justamente a razão da importância da informação versus o tempo que
ela fica imutável.(Figura 3.4.1)

É da natureza do próprio meio a volatilidade e a fragilidade que, curiosamente, se entrelaçam

com a facilidade da recuperação de “rastros” e outros indı́cios tı́picos.
 29

Figura 3.2: Ordem de Volatilidade, segundo Dan Farner e Wietse Venema

3.5 PROCEDIMENTOS FORENSES EXISTENTES

Apesar de ser uma área recente, diversos modelos de investigação forense digital foram
desenvolvidos com o intuito de auxiliar as forças policiais e demais órgãos de segurança e
justiça, a lidar com a mudança da evidência, anteriormente de base documental para base digital.

No inı́cio de 1995, Pollitt sugere uma metodologia para lidar com possı́veis provas. O autor
mapeou o processo de forense computacional para a admissão de prova documental, em um
tribunal de justiça. Ele afirmou que o processo utilizado deve obedecer a lei e para tanto, a
ciência. Nesta metodologia introduziu quatro etapas distintas que são precedentes identificados
para a admissão de qualquer evidência em um tribunal. Os passos são aquisição, identificação,
avaliação e admissão como prova. O resultado destas medidas ou processos são: a mı́dia
(no contexto fı́sico), os dados (no contexto lógico), as informações (no contexto legal) e as
evidências, respectivamente.

Em 2001, o Grupo de Trabalho de Investigação Forense Digital (Digital Forensics Research

Working Group - DFRWG), definiu um processo de investigação genérico, que pode ser apli-
cado a todos ou a maioria das investigações envolvendo os sistemas digitais e redes. O processo
definia as seguintes etapas: identificação, preservação, coleta, exame, análise, apresentação ou
reporte e decisão. Este processo coloca em prática a base fundamental para trabalhos futuros.

No entanto, em 2002, M. Reith e outros propuseram um processo chamado de Processo

Resumido de Forense Digital, baseado no processo do DFRWS (Digital Forensic Research
 30

Workshop) é composto por onze fases que são identificação, preparação, abordagem estratégia,
preservação, coleta, exame, análise, apresentação e devolução das evidências. Este amplo pro-
cesso oferece uma série de vantagens como as listadas pelos autores como um mecanismo para
a aplicação do mesmo processo em tecnologias digitais futuras.

Em 2003, o processo investigação digital é proposto por Carrier e Spapafford, que se baseia
no processo de investigação fı́sica da cena do crime. Este procedimento tem fases de de alto
nı́vel, tanto da análise quanto da cena do crime. É o chamado Processo de Investigação Digital
Integrada (Integrated Digital Investigation Process - IDIP). Eles definem o local de crime digital
como o ambiente virtual criado por software e hardware onde a evidência digital de um crime
ou um incidente existe. Este método organiza o processo em cinco grupos que consiste de 17
fases. Os grupos são fase de preparação, fase de implantação, fase de investigação fı́sica do lo-
cal de crime, fase de investigação de crime digital e fase de revisão. Isto destaca a reconstrução
dos eventos que levaram ao incidente e enfatiza revisão de toda a tarefa. Trata-se de um método
abrangente e genérico tecnicamente, atendendo às áreas de criminalı́stica, investigação corpo-
rativa e resposta a incidentes porém, tem como ponto fraco, a questão de ser muito teórico.

Stephenson visualiza cada um dos processos do método do DFRWS como sendo uma classe
e cada uma das ações tomadas como elementos da classe. Em seguida, ele afirma que as seis
classes definem o processo investigativo. Portanto, ele amplia o processo em nove passos que
ele então define como Processo de Investigação Digital Fim-a-Fim (End-to-End Digital Inves-
tigation Process - EEDI). Estes nove passos na EEDI deve ser realizado pelo perito a fim de
preservar, coletar, examinar e analisar a evidência digital. Ele também definiu as atividades
crı́ticas no processo de coleta, tais como a coleta das imagens dos computadores, a coleta dos
registros (logs) dos dispositivos intermediários, especialmente aqueles na Internet, a coleta dos
registros dos computadores, coleta dos registros e dados de sistemas de detecção de intrusão,
firewall, etc.

Depois, em 2004, Baryamureeba e Tushabe reforçaram o método IDIP chamando-o de

Enhanced Digital Investigation Process Framework (EIDIP). O EIDIP separa as investigações
em locais de crime primário e secundário enquanto retrata as fases como iterativas em vez de
linear. Em seu paper, ele descreve duas fases adicionais que são rastrear e expandir a busca para
tentar separar a investigação da cena do crime primária (o computador) da secundária (o local
fı́sico). O objetivo do reforço é a de reconstruir as duas cenas concomitantemente com o intuito
de evitar incoerências.

Carrier e Spafford propuseram um outro método definido como Processo de Investigação

Digital Baseado em Eventos por reconhecer a não-singularidade fase de investigação no IDIP
 31

e, em seguida, simplificaram o método em Preservação, Pesquisa e fase de Reconstrução. Este

método simples é baseado nas causas e efeitos dos eventos. A meta de cada uma destas fases
é única e os requisitos podem ser definidos. No entanto, estas três fases não mencionam a
integralidade de cada fase. Assim, não é claro que esse método é suficiente para a Investigação
Forense Digital.

Beebe e Clark propuseram, em 2004, o HOBF – Hierachical Objetives-Based Framework.

Trata-se de método multi-grupo, desenvolvido depois dos autores terem revisto que a maioria
dos métodos forenses anteriores formavam um único grupo. Eles propõem várias subtarefas
especificamente para a fase de análise dos dados utilizando investigação resumida e análise
aproximada. As fases do primeiro grupo são de preparação, Incident Response, coleta de dados,
análise dos dados, apresentação e encerramento do incidente. A fase de análise dos dados é
ainda organizada em fase do investigação, fase de extração e fase de exame no segundo nı́vel.
No método proposto, a fase de análise utilizando o conceito de objeto baseado em funções
é introduzida. Como afirmado pelos autores, este método oferece benefı́cios exclusivos na
áreas de praticidade e especificidade, com a capacidade de crescimento e abrangência porém,
se excesso de documentação e a dificuldade de manutenção provocaram seu desuso.

Marcus K. Rogers em 2005, publica o método Análise da Cena de um Crime Digital (Digital
Crime Scene Analysis- DCSA ) que resume-se em fases: Identificação da Evidência, Coleta da
Evidência, Transporte da Evidência, Análise e Relatório. Com isso os autores proporcionaram
uma abordagem prática da criminalı́stica porém, com pouco detalhamento.

Em 2006, o processo forense proposto por Kent é constituı́do por quatro fases que são
coleta, exame, análise e a elaboração de relatórios. Neste método, o processo forense transforma
a mı́dia em provas, quer para a aplicação da lei ou da sua utilização interna de uma determinada
organização. Primeiro, a transformação ocorre quando os dados coletados são examinados,
onde são extraı́dos da mı́dia e transformados em informações através de análise e, finalmente, a
informação se transforma em provas durante a fase de relatório.

M Kohn propôs um novo método a partir da fusão métodos existentes a fim de compi-
lar uma estrutura razoavelmente completa. A métodos proposto baseia-se na experiência dos
outros. Seu estudo revelou dois pontos importantes: o relevante conhecimento de uma base
jurı́dica antes da criação do método é vital, uma vez que irá suportar a totalidade do processo
investigativo, e o processo deverá incluir três fases (preparação, investigação e apresentação)
para satisfazer as exigências mı́nimas da definição da palavra ”forense”. Portanto, Kohn propôs
seu método agrupando as fases das metodologias até então atuais, para estas três etapas. Este
método também estabelece uma base jurı́dica como fundação para que se tenha um entendi-
 32

mento claro daquilo que são os requisitos legais, é estabelecida logo no inı́cio da investigação e
informa cada etapa ou fase posterior.

Neste método, dois requisitos foram identificados como necessários em cada nı́vel, que são
os requisitos legais de um sistema especı́fico e documentação de todas as medidas tomadas.
A vantagem deste método proposto é que pode ser facilmente expandido para incluir qualquer
número de fases adicionais exigidas no futuro.

Ainda em 2006, o Computer Forensic Field Triage Process Model – CFFTPM, desenvol-
vido pela Purdue University em parceria com o National White Coller Crime Center, propõe
uma abordagem local ou em campo para fornecer a identificação, análise e interpretação da
evidência digital em um curto espaço de tempo sem exigência relativa à apreensão dos sis-
temas / mı́dias levadas para o laboratório para um exame profundo ou adquirir uma imagem
forense completa. As fases incluı́das neste método são planejamento, triagem, perfis de uso
/utilizador, cronologia / cronograma, atividade de internet e provas especı́ficas. Este método
é uma formalização da investigação no mundo real, detalhada em uma metodologia proces-
sual formal. A grande vantagem do CFFTPM está em sua praticidade e pragmática, devido ao
fato de que o método foi desenvolvido no sentido inverso da maioria dos outros Métodos de
Investigação Forense Digital. No entanto, este método também não é aplicável para todas as
situações investigativas.

Remodelado em 2007, o modelo implementado pelo Departamento de Justiça Americano

(DoJ), apresenta sete fases bem definidas: Obtenção e Cópia ¿ Requisição ¿ Preparação/Extração
¿ Identificação ¿ Análise ¿ Relatório ¿ Análise a nı́vel de caso. Diferente de quando foi criado
em 2001, onde contemplava quatro fases: Coleta ¿ Exame ¿ Análise ¿ Relatório e mostrava-
se completo apenas para a análise de um disco rı́gido (HD) pois as fases de Exame e Análise
eram definidas de forma confusa, o novo modelo possui listas (Pistas, Dados Extraı́dos, Da-
dos Relevantes, Resultados de Análise) que proporcionam um maior controle entre as fases de
investigação. O ponto fraco deste modelo é que não aborda Live-Acquisition (Live response /
Memory analysis).

Todos os modelos supracitados têm a sua própria força, no entanto até hoje não existe um
único modelo que pode ser utilizado como uma orientação geral para investigar todos os tipos
de crimes e incidentes. As figuras 3.5 e 3.5 ilustram bem a quantidade de métodos conhecidos.
Portanto, mais pesquisas são necessárias para uma concepção geral de um método para superar
este problema.
 33

Figura 3.3: Review of Incident Management Processes from Various Publications Fonte:
CMU/SEI-2004-TR-015
 34

Figura 3.4: Review of Incident Management Processes from Various Publications Fonte:
CMU/SEI-2004-TR-015
 35

3.6 MAPEAMENTO DO PROCESSO DE FORENSE DIGI-

TAL

Dos atuais métodos ou modelos mencionados na seção anterior, o que pode ser visto cla-
ramente é que cada um dos métodos propostos baseia-se na experiência dos modelos anteri-
ores, alguns dos métodos tem abordagens semelhantes e alguns focalizam diferentes áreas da
investigação. No entanto, todos os métodos têm a mesma saı́da, mesmo se no processo ou a
atividade a ordem dos passos é ligeiramente diferente sobre o termo utilizado.

A fim de ilustrar e melhor descrever o processo de forense computacional, mapeamos os

referidos processos, agrupando e fundindo as mesmas atividades que fornecem os mesmos re-
sultados em uma fase adequada.

Dessa maneira contemplamos, além da preservação - fase inicial de qualquer procedimento

forense, onde se busca preservar o local de crime e identificar as evidências, no escopo compu-
tacional, preservar o estado do local de crime digital - seis fases do procedimento da Ciência
Forense:

a. Avaliação;

b. Aquisição;

c. Autenticação;

d. Análise;

e. Documentação;

f. Apresentação.

3.6.1 Avaliação

Nesta fase identifica-se e distingue-se entre evidências relevantes e irrelevantes. As ações

a serem tomadas nesta fase dependem do enquadramento jurı́dico, negócio, ou as necessidades
operacionais da investigação.

A Avaliação no processo de Forense Computacional consiste em, diante da evidência apre-

sentada:
 36

a. Determinar o Escopo e a Quantidade de Dados - através dos quesitos apresentados pela

parte interessada no processo, possibilitar ao perito determinar quais dados serão analisa-
dos e qual metodologia será empregada;

b. Identificar Repositórios de Dados - antes de iniciar a perı́cia mas após determinar seu es-
copo, deve-se identificar onde estarão armazenados os dados considerados suspeitos, ou
seja, potenciais evidências. Estes poderão ser qualquer equipamento desde computadores
pessoais a Servidores de Rede empresarial, PDAs e telefones celulares. Neste ponto, é
necessário determinar se o perito possui as ferramentas necessárias para concluir o exame
pericial adequadamente;

c. Proteger e Preservar – uma vez determinado onde encontrar as evidências, deve-se to-
mar medidas para proteger e preservar as evidências e consequentemente os dados. A
evidência digital é latente, do mesmo modo que as impressões digitais, armas de fogo,
e as ferramentas são marcas latentes de evidência. A evidência digital não é visı́vel a
olho nu e requer cuidado na manipulaçãoe de formação especializada para preservá-la de
forma eficiente e eficaz. Elas são facilmente alteradas, danificadas ou destruı́das [MO-
ZAYANI, 2006]. As evidências precisam ser preservadas de tal forma que não haja dúvida
alguma de sua veracidade [FREITAS, 2006];

d. Cadeia de Custódia – após proteger devidamente a evidência, deve-se estabelecer a Ca-

deia de Custódia, que registrará “quem fez o quê com a evidência e quando”. Ca-
deia de Custódia é um processo usado para manter e documentar a história cronológica
da evidência, para garantir a idoneidade e o rastreamento das evidências utilizadas em
processos judiciais [LGB, 2006]. A validade de evidências digitais apresentadas num
caso judicial pode ser contestada devido a, por exemplo, processamento inadequado ou
adulteração de evidências. Mesmo tomando os cuidados nas variadas tarefas executadas
num trabalho de perı́cia, como busca e preservação de evidências, determinar a relação
entre dados e seu autor muitas vezes pode ser difı́cil ou enganosa, pois não é uma tarefa
trivial. É preciso, portanto, que exista uma documentação adequada de ações tomadas, o
que pode ser feito estabelecendo cadeias de custódia;

e. Pré-visualização dos dados – somente após completar os passos anteriores é que pode-se
pré-visualizar os dados de maneira a garantir que não serão modificados. Este passo
prepara para a fase de Aquisição do processo forense, onde será criada uma cópia fiel dos
dados a fim de prover a análise e interpretação das informações - perı́cia;
 37

3.6.2 Aquisição

Na fase de Aquisição, produz-se uma cópia fiel da evidência de maneira a permitir o inı́cio
da investigação pericial. No entanto quatro etapas fundamentais estão envolvidas nesta fase do
processo:

a. Mı́dia de Origem – os dados são armazenados em mı́dias. É necessário identificar que tipo
de dados estão armazenados e como prover o acesso aos mesmos.

b. Mı́dia de Destino – para gerar uma imagem forense faz-se necessário realizar a cópia dos
dados da evidência para outra mı́dia, igual ou similar, se possı́vel.

c. Parâmetros de Aquisição – estabelecer os parâmetros exigidos para a imagem.

d. Criação da Imagem – Após determinar a mı́dia onde será gravada a imagem e estabelecer
os parâmetros, cria-se a imagem. O processo de criação da imagem deve assegurar que ela
não modificou os dados originais. As imagens podem ser produzidas de formas diferentes,
dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura disponı́vel e
da metodologia empregada [COSTA, 2003, p.27]. Com isso é possı́vel validar o processo
na fase de autenticação.

3.6.3 Autenticação

O propósito da fase de Autenticação é assegurar que a imagem criada da evidência é idêntica

à original. Para tal, utiliza-se do comparativo de hashes criptográficos4 – MD5 ou SHA-1 são os
algorı́timos comumente utilizados. O procedimento de hash de dados consiste basicamente no
seguinte: as informações/evidências digitais são submetidas a um software que utiliza algoritmo
matemático, resultando em um número que representa aquela informação de forma única. Caso
qualquer bit5 da informação seja alterado, o hash gerado será completamente diferente.[DE
CARVALHO, 2000]
4 HASH – Hash em inglês significa picar, cortar miúdo, triturar. As funções “hash” são funções usadas para
autenticar arquivos ou mensagens. As funções “hash”são diferentes das funções normais de encriptação, por não
possuı́rem um chave, e por serem irreversı́veis. ...Qualquer um pode verificar a autenticidade de um arquivo ou
mensagem, apenas calculando a função novamente, e comparando o resultado com o já obtido anteriormente... [de
Carvalho, 2000]
5 Bit (simplificação para dı́gito binário, “BInary digiT” em inglês) é a menor unidade de medida de transmissão

de dados usada na Computação e na Teoria da Informação, embora muitas pesquisas estejam sendo feitas em
computação quântica com qubits. Um bit tem um único valor, 0 ou 1, ou verdadeiro ou falso, ou neste contexto
quaisquer dois valores mutuamente exclusivos.
 38

3.6.4 Análise

Transpostas as etapas descritas acima, a fase de Análise é o “cerne” da Forense Computa-

cional. A análise pode ser realizadas de duas formas: método offline (Post Mortem) e on-line
(Live-Acquisition). O método offline necessita de acesso fı́sico ao equipamento, e o mesmo é
analisado através de um outro sistema operacional ou ambiente controlado. Já o método on-line
é realizado diretamente no equipamento/dados em questão e o ambiente não é controlado [NG,
2007]. Cada processo da análise forense possui particularidades devido a eventos e tecnologias
envolvidas, o que nos leva a ter que reavaliar e definir o melhor método de trabalho em cada um
deles.

3.6.5 Documentação

A Documentação é um processo contı́nuo ao longo de todo o exame pericial. É importante

registar com precisão as medidas tomadas durante o exame das evidências digitais. Toda a
documentação deve ser completa, precisa e abrangente. Deve também, ser contemporânea com
o exame. O relatório (laudo) resultante deve ser escrito para o público-alvo.

3.6.6 Apresentação

As informações do relatório final são Apresentadas de forma clara e objetiva. Devem conter
informações sobre os fatos, metodologia de investigação e análise e conclusões. Para cada fato
concluı́do, deve constar as informações sobre o processo/procedimentos/evidências utilizadas
e/ou coletadas para chegar nas conclusões. [NG, 2007]
 39

4 PROPONDO MUDANÇAS

Conforme visto até aqui, independente de literatura ou, no caso especı́fico da forense com-
putacional, se a recomendação é do Departamento de Justiça Norte-Americano (DoJ), do Guia
de Boas Práticas da Associação dos Chefes de Polı́cia do Reino Unido (ACPO) ou do Grupo
Cientı́fico de Trabalhos em Evidências Digitais (SWGDE) – expoentes quando o assunto é
normatização de procedimentos de caráter investigativo e pericial - as duas premissas principais
do processo forense são a aquisição da evidência e sua preservação.

A falta de uma padronização a nı́vel nacional e até mundial no que tange a forense compu-
tacional, haja vista o grande número de metodologias existentes, faz com que tenhamos sempre
uma abordagem tı́pica para a solução dos problemas:

• Confiar na experiência passada;

• Ouvir os conselhos de outros Peritos;

• Utilizar as ferramentas e os métodos existentes.

Muito discute-se sobre a volatilidade dos dados contidos em uma evidência digital que,
devido a sua natureza, são fáceis de serem alterados ou apagados, o que requer maior atenção
quanto a manipulação e preservação das evidências.

Porém, outras metodologias correlatas, que lidam também com evidências consideradas
voláteis, como a Patologia Forense, quando do tratamento e coleta de sangue e de manchas de
sangue, têm todo seu frame-work aceito e validado pela comunidade forense internacional.

De todos os tipos de indı́cios comumente encontrados no local de crime, o sangue talvez seja
o mais frágil. O sangue pode apresentar-se na forma lı́quida, no estado úmido ou completamente
seco. Dependendo da circunstância, diferentes procedimentos podem ser utilizados. Vejamos
dois deles:

a. Se existe uma quantidade suficiente de lı́quido, depositado na cena do crime, cerca de 5 a

10ml devem ser recolhidos com uma pipeta ou conta-gotas medicinal e colocado em um
 40

tubo de vidro contendo conservante e anticoagulante1 . As amostras lı́quidas de sangue

devem ser mantidas sob refrigeração.

b. Uma mancha úmida de sangue, em uma superfı́cie não absorvente como vidro ou metal,
pode ser colhida adicionando uma pequena quantidade de soro fisiológico esterilizado
(0,9%) à mancha e misturá-la cuidadosamente para após recuperá-las com uma pipeta ou
conta-gotas medicinal. As amostras devem ser mantidas sobre refrigeração.

Nas duas situações acima, através de procedimentos validados internacionalmente, altera-

mos a evidência – seja misturando conservantes e anticoagulantes ou simplesmente adicionando
soro fisiológico – porém, não invalidamos a prova.

Diversos organismos e autores tratam do frame-work da Forense Computacional porém, to-

dos descrevem o processo como um todo e, quando atinge-se o assunto aquisição da evidência
digital, observa-se a convergência para a Duplicação Pericial ou Imagem Forense.

O processo de duplicação pericial consiste em se produzir uma imagem idêntica do dispo-

sitivo de armazenamento de dados em outra mı́dia, a fim de garantir a integridade dos dados
contidos no dispositivo original ou seja, a evidência.

Costa (2003) afirma que as imagens de evidências digitais podem ser produzidas de for-
mas diferentes, dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura
disponı́vel e da metodologia a ser empregada.

Em suma, as imagens são produzidas através de dois métodos: o uso de Software ou o

uso de Hardware. No primeiro, utilizando-se se ferramentas apropriadas e, preferencialmente,
certificadas, procede-se a obtensão da imagem onde, em se tratando do tipo mais comum de
evidência, ou seja, o disco rı́gido (HD) de um computador, consegue-se em média uma velo-
cidade de transferência de dados de aproximadamente 2GB/min. Já quando utiliza-se dupli-
cadores comerciais, isto é, hardwares destinados para este fim, se obtém uma velocidade de
transferência de dados de até 4 GB/min.

Num primeiro momento, a velocidade empregada através do processo de imagem via hard-
ware, de 4GB/min, se apresenta aceitável quando tratamos de geração de imagens de HD’s de
computadores pessoais com capacidade de armazenamento de até 500GB.

O processo de duplicação com velocidade de 4GB/min começa a tornar-se inviável a partir

do momento em que o perito possua mais de um computador, e consequentemente, diversos
1 Tubos adequados, contendo fluoreto de sódio e oxalato de potássio para preservar amostras de sangue, estão
disponı́veis comercialmente.
 41

HD’s para analisar e realizar a duplicação - fato comum de ocorrer - ou, se a apreensão tratar de
um storage2 de dados de uma empresa (dados armazenados na ordem de Terabytes, Petabytes
ou superior). Com uma velocidade de 4GB/min, o tempo necessário para efetivar a imagem
e calcular o Hash será demasiadamente grande, provocando a perda do sentido da perı́cia no
momento oportuno3 .

É mister que um dos princı́pios básicos do método cientı́fico é a reprodutibilidade. A

capacidade de ser reproduzı́vel, adiciona um nı́vel de confiabilidade necessário aos resultados
de uma análise forense. Tanto no Brasil como em qualquer outro paı́s do mundo, deve ser
possı́vel realizar-se um experimento e se obter os mesmos resultados. Desta forma, a ciência
passa a ser uma importante aliada da justiça, pois fornece respostas com aceitáveis nı́veis de
precisão.

Não obstante, mesmo que a ciência possua esta capacidade, ela é feita por seres humanos,
estes com possibilidades de falhas e de caráter eventualmente duvidoso, que podem tendenciar
determinados resultados, de forma consciente ou não, prejudicando ou beneficiando outrem.

Nos procedimentos hoje adotados, não existem garantias da autenticidade do dado anali-
sado, haja vista que a cadeia de custódia somente inicia-se quando do recebimento dos equi-
pamentos no laboratório forense. Exemplificando, não há como assegurar que o dado obtido
de determinada evidência pertencia realmente àquele equipamento ou ainda, atestar que o HD,
no qual foi obtido tal evidência pertence à CPU apreendida. A parte envolvida não possui
garantias de que a prova encontrada estava realmente no material analisado ou foi inserida ma-
liciosamente ou até mesmo contaminada por manuseio errôneo, durante ou após a apreensão do
equipamento.

No campo da Forense Computacional, os equipamentos dispostos para análise pericial são

oriundos de buscas e apreensões. O procedimento de busca e apreensão de equipamentos
eletrônicos se dá através de duas situações:

a. Sob Mandado Judicial, fundamentado em pedido emitido pelo Ministério Público, emba-
sado em relatório da autoridade policial, denúncia ou outra fonte de informação que gere
a suspeita do cometimento de ilı́cito em que o equipamento, foco da ordem de busca e
apreensão, é utilizado direta ou indiretamente para tal fim.
2 Sistema de armazenamento de dados, podendo ser em fita, disco ou rede.
3 Em muitos casos além da demora na geração da imagem, a dificuldade de se manter em estoque mı́dias de
tamanho adequado àquelas que serão duplicadas, provoca um atraso na análise forense e, consequentemente, a
demora na elaboração do laudo pericial que muitas vezes acabam por ser finalizados em prazo maior do que o
ditado pela lei processual.
 42

b. No caso de flagrante delito, onde apreende-se materiais e equipamentos que julgue-se cor-
roborar com a caracterização do delito. (Ex. Num caso de extorsão, apreende-se o te-
lefone celular do suspeito com o de, através de perı́cia, comprovar que as ligações eram
realizadas daquele aparelho.)

Nos dois casos citados, a apreensão é conduzida da seguinte forma: os equipamentos são
desligados, identificados, lacrados, constados no termo de apreensão e encaminhados à Perı́cia.

Com isso, cabe ao Perito descobrir a informação probante a partir de um grande volume
de dados sob um enorme número de variantes: diferentes Sistemas Operacionais, Hardwares
e Softwares. O que por si só já acarreta, dependendo dos quesitos, um dispendioso tempo,
provocando muitas vezes, o atraso na tramitação processual.

Ainda que, na área penal, os trabalhos periciais, segundo Sampaio (2003), devem, obri-
gatoriamente, manter as provas materiais preservadas para que, em caso de dúvidas, possam
ser reexaminadas ou até que se finalize o processo penal competente, não se pode ignorar o
Princı́pio da Eficiência.

Segundo o Artigo 37 da Constituição Federal Brasileira, “A administração pública direta

e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Mu-
nicı́pios obedecerá aos princı́pios de legalidade, impessoalidade, moralidade, publicidade e
eficiência. . . ”

O princı́pio da eficiência não pode ser entendido apenas como maximização do lucro, mas
sim como um melhor exercı́cio das missões de interesse coletivo que incumbe ao Estado, que
deve obter a maior realização prática possı́vel das finalidades do ordenamento jurı́dico, com os
menores ônus possı́veis, tanto para o próprio Estado, especialmente de ı́ndole financeira, como
para as liberdades dos cidadãos.

Num procedimento de busca e apreensão, o foco deve ser aquilo que evidencie a materiali-
dade e autoria do crime. Não pode-se por exemplo, parar o funcionamento de uma empresa, res-
tringindo seu direito à propriedade em prazo superior ao permitido pelo ordenamento jurı́dico,
em detrimento da busca de algumas evidências que encontram-se armazenadas sejam em arqui-
vos digitais, sejam em documentos impressos, apesar de que, no meio digital, a facilidade de se
obter uma cópia devidamente autenticada, é facilitada pelo próprio meio.

“. . . Quanto ao mérito, aduziu que a decisão encontra amparo no princı́pio do

devido processo legal, bem como que a restrição ao direito à propriedade . . .
deve ser temporária, de modo que restando ultrapassado o prazo ditado pela lei
processual, a medida cautelar acoimada perde sua eficácia.” (TJ/SC – MS no
2003.002248-1, de São José, Rel. Solon d’Eça Neves, em 10.02.2004)
 43

Deve-se considerar ainda, dentro do Princı́pio da Eficiência, que equipamentos eletrônicos

tem, pela sua natureza, uma vida tecnológica e consequentemente, econômica, limitada, pelo
que, pelo mero decurso do tempo ocorre uma elevada depreciação econômica e a obsoledade
tecnológica.

O que se encontra nos dispositivos de armazenagem digital pode ser equiparado a documen-
tos. Quando apreendidos documentos que tenham como forma de apresentação a impressão em
papéis, estes meios precisam ser devidamente identificados para que se possa no futuro afirmar
sua origem, e, se, possı́vel, sua autoria.

Ao se apreender documentos registrados em meios digitais, de igual forma, há que se tomar
as precauções necessárias para que se ateste, pelos registros da busca e apreensão e pela palavra
do perito, a origem dos documentos digitais e, se possı́vel, as evidências de autoria.

Exemplificando, ao invés de apreender um armário de aço que contem documentos im-

pressos em papel, o profissional que realiza a busca e apreensão escolhe os papeis a apreender
que tenham relação com o objeto da investigação. No caso de equipamentos de informática ou
mı́dias digitais, caberá ao profissional, de igual forma, não apreender todo o equipamento, mas
apenas os documentos digitais que tiverem ligação com a investigação em curso.

4.1 REFINANDO A METODOLOGIA DE COLETA SEM

COMPROMETER OS PRINCÍPIOS FORENSES

Independentemente da filosofia darwiniana, o conceito de ”evoluir ou morrer “ tem sido

validado em muitas tecnologias, configurações sociais e econômicas. Se o objetivo é sobre-
vivência fı́sica, mudança gera mudança.

No contexto de evidências computacionais, técnicas forenses devem ser avaliadas quando

variáveis dinâmicas - volume de dados, informações de infra-estruturas corporativas e restrições
legais - convergem para impedir a meta de produzir resultados verificáveis.

Segundo Kenneally (2005, p.2):

“. . . A Forense Digital não ocorre no vácuo, mas sim, tem sido influenciada
e moldada pelas exigências dos ambientes em que é aplicada e, através das
lentes dos profissionais que implementam as ferramentas.”

A metodologia proposta se destina a complementar as metodologias tradicionais que em-

pregam a cópia bit-a-bit (bit-stream) em circunstâncias que exigem uma maior eficiência e um
abordagem de baixo custo na coleta da evidência digital.
 44

Modificar as técnicas atuais de Forense Computacional – identificação, aquisição, preservação,

análise e apresentação – quebrando paradigmas ou seja, mudando contextos, não significa que
os resultados serão menos confiáveis no que diz respeito à qualidade da evidência forense.

Análises forenses de computadores já não são realizadas em apenas uma única máquina
com pequena capacidade de armazenamento de dados. Pelo contrário, a possibilidade de evidências
contudentes se expandiu para as redes de computadores interligadas, cada uma com grande po-
tencial de armazenamento contendo artefatos4 de relevância jurı́dica.

O primeiro fator de impedimento a ser considerado, associado à metodologia existente de

cópia bit-stream, pode ser gaugado nas métricas tempo e recursos. Ambos os custos estão se
tornando imensuráveis em processos civis e criminais, exigindo muito das vı́timas e investiga-
dores afins. Isto decorre do fato de que o contexto no qual estamos aplicando nossas ferramentas
forenses e metodologias mudou.

A caracterı́stica da metodologia apresentada neste trabalho é a filtragem e redução da coleta

de dados na fase de aquisição, ao invés do grosso recolhimento e filtragem de dados na fase de
exame. Com isso reduzimos o risco jurı́dico e, conseqüentemente, o encargo econômico.

4.2 METODOLOGIA TRADICIONAL DE COLETA

DE EVIDÊNCIAS - Bit-Stream Image

A natureza volátil das evidências contidas em um disco ou em uma rede de computador e a

potencialidade natural de destruição das mesmas no processo de análise, formam um argumento
convincente para os investigadores não realizarem análises sobre a evidência (mı́dia) original

Essas variáveis também contribuem para apoiar a coleta de todas as informações sobre uma
determinada mı́dia ou computador. Este contexto serviu de base para as atuais metodologias de
coleta das evidências e sua posterior análise.

Um dos primeiros passos no procedimento tradicional de coleta de evidências inclui cap-

turar a evidência contida em um sistema computacional que encontra-se desligado (off-line)
e gerar uma imagem bit-a-bit (bit-stream image) de todo o disco original. Este processo de
imagem bit-stream envolve a cópia de todos os dados do disco original, setor por setor, para
um disco de destino ou para um arquivo de imagem. Outras técnicas recomendadas e aceitas,
tais como os bloqueadores de escrita (gravação), auxiliam no processo de geração de imagem
4 De forma geral, artefato é qualquer informação deixada por um invasor em um sistema comprometido. Pode
ser um programa ou script utilizado pelo invasor em atividades maliciosas, um conjunto de ferramentas usadas pelo
invasor, logs ou arquivos deixados em um sistema comprometido, a saı́da gerada pelas ferramentas do invasor, etc.
 45

bit-stream5

Paralelamente à criação da imagem bit-stream, os valores de hash criptográfico dos discos

de origem e destino são criados para fins de verificação de integridade. Neste ponto o investiga-
dor tem um disco com a imagem da evidência, sobre a qual realiza análise, preservando assim
as provas da mı́dia original, para o caso do investigador provocar danos ou alterar as provas ou
ainda ocorrer uma falha de software ou hardware.

4.2.1 Vantagens da imagem bit-stream

A metodologia que emprega a imagem bit-stream é bem compreendida por todos profissi-
onais da área de forense digital. Ela prevê uma maneira dos investigadores repararem erros co-
metidos pelo próprio perito, pela ausência de softwares de análise somente-leitura (read-only)
especializados e por falhas de hardware sem provocar a deterioração das evidências. Dessa
forma, reduz-se os riscos associados à manipulação e, consequentemente, a modificação da
evidência digital, assegurando teoricamente, um ilimitado número de cópias do disco original a
fim de que a confiabilidade, verificabilidade e precisão possam ser garantidas.

A imagem bit-stream permite ao investigador, “congelar” toda a cena, uma vez que existe o
disco apreendido, para uma análise estática. Esta metodologia compartimentaliza eficazmente
os processos de aquisição e análise das evidências digitais.

4.3 CUSTOS

Como já visto, o tempo despendido para gerar uma imagem de disco é proporcional ao
tamanho do disco de destino. Traduzindo para o mundo real, o tempo médio para gerar uma
imagem de um disco com capacidade de armazenamento de 100 GB, padrão IDE é de aproxi-
madamente 4 horas.

Usuários podem armazenar, em media, cerca de 6,5 milhões de documentos do MS-Word

em um disco com 100 GB de armazenamento e mais de 1,5 milhões de arquivos de imagens no
mesmo disco6 . O que essas estatı́sticas ilustram é a interação entre os volumes crescentes de
dados e correspondentes requisitos forenses.

Contudo, enquanto o volume das evidências e a complexidade dos exames têm aumentado,
5 O NIST Disk Imaging Tool Specification 3.1.6 descreve detalhes técnicos dos processos de uso recomendado
de imagem bit-stream para itens tais como bloqueio de escrita (write-blocking), recuperação de erros e logging.
6 Para mais informações, consulte Lexis Nexis Applied Discovery Fact Sheet, 2004.
 46

o número de pessoas qualificadas para a realização dos exames não tem mantido o mesmo ritmo.
Assim, a evolução dos contextos digitais demanda soluções forense mais eficientes.

Além do desafio do volume, os custos do recurso de imagem são agravados pela sensibili-
dade do tempo de atendimento com o crescente uso de computadores nos negócios, em serviços
crı́ticos, em um ambiente corporativo. Os custos empresariais – perda da produtividade, perda
de receita e baixos custos associados com reputação e confiabilidade – resultantes de um sis-
tema permanecer off-line para uma análise forense pos-mortem pode ser proibitivo. Em uma
recente queda dos serviços da cyber-livraria Amazon, que permaneceu indisponı́vel por cerca
de 1h30min., a empresa deixou de faturar US$ 2,79 milhões. Segundo a própria empresa, com
base no faturamento do trimestre anterior, no 90 minitus em que permaneceu fora do ar, o maior
portal de vendas via internet sofreu um prejuı́zo de US$ 31 mil por minuto7 .

Do ponto de vista do investigador forense, as restrições de tempo são geradas pelos man-
dados de busca emitidos, os quais refletem a sensibilidade dos juı́zes frente às consequências
da potencialidade perturbadora do atual processo de aquisição. Do mesmo modo, os policiais
e os recursos do equipamento não são ilimitados. Em suma, a imagem bit-stream de mı́dias de
plataformas inteiras pode e envolve os custos substanciais associados com a aquisição, a análise
e o equipamento do investigador, assim como as despesas de negócio acima mencionadas.

Uma vez que a cena fı́sica foi processada e as mı́dias de evidência digital foram identificadas
(isto é, computador pessoal, servidor ou mı́dia removı́vel), o investigador é confrontado com as
seguintes tarefas:

1. Realizar o procedimento padrão de um local de crime incluindo fotografias, medidas

emergenciais, etc.

2. Inicia a cadeia de custódia para todos os itens que forem coletados.

3. Embalar e etiquetar toda mı́dia solta de maneira que suporte a cadeia de custódia, como
o uso de sacos invioláveis e fitas adesivas.

4. Coletar os dados voláteis como a data e hora do sistema, a memoria fı́sica e os processos
que estão rodando. Isto deve ser coletado antes do processo de imagem da maneira menos
intrusiva possı́vel.

5. Identificar sistemas com discos rı́gidos para apreensão e determinar o método de coleta.
7 Em http://g1.globo.com/Noticias/Tecnologia/0,,MUL592388-6174,00-FORA+DO+AR+AMAZON+SOFRE

+PREJUIZO+ESTIMADO+EM+US+MIL+POR+MINUTO.html acessado em 27.12.2008.

 47

Neste passo, é preferı́vel retirar o equipamento da tomada e conduzir o processo de bit-

stream no laboratório porém, nem sempre é possı́vel.

6. Embalar e etiquetar o disco com a imagem e o disco original (se for permitido) de modo
que suporte a cadeia de custódia, como o uso de sacos invioláveis e fitas adesivas. Embora
a capacidade de realizar a cópia bit-stream no local da busca exista, nem sempre é pratico
pois, conforme já descrito, este processo pode levar muitas horas para ser concluı́do.

7. Transportar todo material apreendido para o laboratório para o prosseguimento do caso e

subsequente imagem de algum disco original que não tenha sido realizada no local.

8. Iniciar a análise do caso e a produção de todas as fases restantes do procedimento forense.

Como citado anteriormente, as metodologias utilizadas para a busca e apreensão de com-

ponentes do processo de forense digital pode ser morosa e, em alguns casos, apresentar custos
proibitivos.
 48

5 METODOLOGIA PROPOSTA

A abordagem deste trabalho inova ao apresentar procedimento à sabedoria tradicional da

computação forense, que conta com métodos muito conservadores, indo desde a ação de des-
ligar o computador até a duplicação pericial. Tais técnicas – análises Post-Mortem - permitem
somente um entendimento limitado sobre a situação do computador ou dispositivo analisado.
Não permitindo o levantamento de informações úteis como processos em execução e kernels,
estado da rede, dados da RAM e muito mais.

Muitas vezes, fatores como a volatilidade ou o volume de dados, as restrições impostas pela
autoridade legal, ou o uso de criptografia pode ditar a necessidade de capturar dados de sistemas
de energia sem interrupção do ciclo.

5.1 DESCREVENDO A METODOLOGIA

Partindo do princı́pio de que a forense computacional não deve estar baseada em alguma
ferramenta, tecnologia ou fragmento de software. O uso de ferramentas exatas, aplicações, etc.
são irrelevantes, o importante é que os princı́pios da criminalı́stica devem ser metódicos e preci-
sos, garantindo a autenticidade das provas, a manutenção da cadeia de custódia e possibilitando
minimizar a contaminação da evidência.

Um investigador forense utiliza diversas ferramentas, tantas quantas forem necessárias;

as ferramentas não definem a disciplina.

Embora artefatos de interesse possam ser identificados e extraı́dos de um sistema desligado

(post-mortem), uma das maiores vantagens da metodologia proposta é a sua capacidade de
permitir a identificação de evidências em sistemas “In Vivo” (live-systems) e a extração seletiva
simultaneamente enquanto o sistema original continua em operação normal. Esta metodologia
envolve uma pré-aquisição da evidência, pesquisa e filtragem para minimizar os efeitos da coleta
de dados irrelevantes, o que acontece no modo de bit-stream tradicional, onde ocorre uma pós
aquisição no laboratório durante a fase de exame.
 49

Na otimização da metodologia de aquisição de evidências digitais, isto é, dados de siste-

mas informáticos, através do modo Live Acquisiton, a principal preocupação é a capacidade de
capturar e gravar dados em um formato utilizável, obedecendo os princı́pios da Ciência Forense
concatenados com fatores da Segurança da Informação, proporcionando à evidênca colhida a
autenticidade, integridade e a confidencialidade, esta última garantindo que a prova pericial será
analisada somente por quem de direito.

O conceito de confidencialidade está estritamente ligado à confiança da discrição e leal-

dade de alguém (Dicionário Aurélio Eletrônico), contudo, em termos de informação eletrônica,
se trata de afirmar que dados eletrônicos só estarão disponı́veis para pessoas previamente auto-
rizadas pelo sistema.

O termo integridade conceitua a qualidade daquilo que é ı́ntegro, nos traz à mente a idéia
de inteireza, e, considerando os sistemas computadorizados, é o termo que designa a segurança
de que o documento eletrônico não foi de qualquer forma manipulado, sendo em todo ou em
parte destruı́do ou corrompido.

Por último, o termo disponibilidade designa um funcionamento e desempenho eficiente do

sistema, de forma que esse se encontrará apto ao fornecimento de informações sempre que se
fizer necessário.

Esta metodologia apresenta duas caracterı́sticas principais: (1) pesquisa “In Vivo” e identi-
ficação simultânea de evidências, e (2) extração seletiva de evidências a baixo nı́vel a partir da
mı́dia digital.

As exigências iniciais da metodologia estão focadas sobre o modo em que a coleta dos
dados relacionados é feita, como é garantida a conexão e de como os dados são lidos, copiados
e interpretados.

1. Conexão com os dados: é um princı́pio bem aceito dentro da comunidade de computação

forense que, no intuito de garantir a integridade probatória, o software não deve ser ins-
talado sobre o sistema analisado. Da mesma forma, este princı́pio serve como utilitário
para a área de T.I. atingir as metas de minimização das intrusões e dos conflitos de desem-
penho. Para cumprir este objetivo, o sugerido é que esta conexão seja feita nos moldes
de um agente cliente-servidor executando na memória apenas. O agente cliente-servidor
pode ser iniciado a partir de uma mı́dia com as caracterı́sticas de apenas leitura (read-
only), como um CD-ROM, disquete protegido contra escrita ou um Pendrive USB.

2. Integridade dos dados: a integridade dos dados vai de mão dada com a coleta de
evidências dada as exigências probatórias de confiabilidade, integridade, precisão e veri-
 50

ficabilidade. O entendimento deste componente da integridade dos dados é essencial por

duas razões: (1) que dá o investigador ou perito uma compreensão do ambiente nativo
onde a evidência foi adquirida, proporcionando assim um contexto relevante e confiável
para as funções de análise; e (2), que prepara o investigador para implantar as ferramen-
tas adequadas para garantir a segurança e a integridade dos dados durante o recebimento
da evidência. A integridade dos dados consiste em medidas que devem ser implementa-
das pelo investigador durante o processo de coleta de modo a não introduzir quaisquer
variações de confiabilidade em um evidência (integralidade, exatidão e/ou verificabili-
dade). Os requisitos técnicos para estas medidas concentram-se sobre os instrumentos e
técnicas utilizadas pelo pesquisador. A postura de segurança dos dados do ambiente em
que a evidência está sendo coletada, deve ser entendida pelo perito no que se refere à
importância da evidência. Os fatores que o perito deve considerar incluem:

(a) Medidas de proteção lógica dos dados provenientes do Sistema Operacional da

máquina (Anti-virus, IDS, ACLs);

(b) Medidas de proteção lógica dos dados provenientes dos equipamentos de rede (ACLs,
Firewall, NID);

(c) Medidas de proteção fı́sica dos dados provenientes dos dispositivos locais (Controle
de acesso fı́sico - segurança do local de crime e ao próprio disco ou mı́dia).

Se um investigador está executando um agente em um sistema “ao vivo” é possı́vel que

esse sistema possa estar comprometido por um rootkit ou o outro código malicioso que
funciona na memória, escondendo assim a evidência que se busca. Um modo eficaz para
evitar um comprometimento com tal ameaça é executando comandos lidos no setor, con-
tornando assim o pedido padrão de E/S do arquivo, que é a estratégia normal empregada
por rootkits.

3. Representação dos dados: considerando a aplicação “rodando” em um sistema que não

o do equipamento periciado (toolkits em um cd-rom, por exemplo) buscando evidências
“In Vivo” (live-search), a representação de todos os dados extraı́dos, incluindo ı́ndices,
deve ser autenticada utilizando-se hashes criptográficos como o MD5 ou SHA1 e ca-
rimbos digitas de tempo. A extração seletiva da evidência não pode ocorrer até que o
investigador identifique a evidência com base nos resultados das pesquisas por palavras-
chave, comparação de hashes ou inspeção visual. Uma vez que a decisão para a extração
da evidência foi tomada e as evidências estão identificadas como descrito acima, ocorrerá
a extração seletiva.
 51

Segundo Farmer (2007), na maioria das vezes mais de 90% dos arquivos de um computador
não foram utilizados no último ano. Isto que dizer que a maioria das atividades acessa os
mesmos dados, programas e outros recursos repetidamente.

Conforme o Sistema continua tratando os mesmos arquivos repetidamente, ele está, literal-
mente, repisando suas próprias pegadas, portanto, vestı́gios das operações anteriores são perdi-
das pois são substituı́das pelos vestı́gios de operações mais recentes.

Por essa razão, vestı́gios de atividades incomuns não apenas se destacam mas também são
percebidos por um longo perı́odo de tempo haja vista que a maioria das informações em um
sistema é raramente tocada.

Dentro do campo de crime digital e análise forense, “normas” equivalentes provêm de di-
versas fontes internacionais governamentais ou não, algumas já citadas:

• Department of Justice – DoJ;

• National Institute of Justice – NIJ;

• Scientific Working Group on Digital Evidence – SWGDE;

• High Technology Crime Investigation Association – HTCIA;

• National White Collar Crime Center – NW3C;

• Royal Canadian Mounted Police – RCMP;

• US Secret Service;

• Interpol;

• Scotland Yard;

• Department of Defense – DoD;

• Government Communications Headquarters - GCHQ.

O Instituto Nacional de Justiça (NIJ), do Departamento de Justiça Norte-Americano (DoJ)

apresentou na primeira edição do Manual de Investigação de Cena de Crimes Eletrônicos, uma
tabela que define o escopo dos exames em computadores, apontando os itens comuns de busca,
relacionados com a categoria de crimes conforme pode ser verificado nas figuras 5.1, 5.2 e 5.3.

Diante de tal apresentação, os artefatos comuns de busca de evidências digitais, apresenta-

dos pelo NIJ/US-DoJ, vem reforçar o trabalho apresentado, onde a busca seletiva e extração com
 52

Figura 5.1: (Common findings of a forensic examination as they relate to specific crime catego-
ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition)
 53

Figura 5.2: (Common findings of a forensic examination as they relate to specific crime catego-
ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition - cont.)
 54

Figura 5.3: (Common findings of a forensic examination as they relate to specific crime catego-
ries - Fonte: NIJ - Eletronic Crime Scene Investigation 1st Edition - cont.)
 55

Figura 5.4: (Modelagem da metodologia proposta)

o Sistema operando “In Vivo”, utilizando procedimentos válidos e confiáveis de modo a tornar
as evidências digitas em provas legalmente defensáveis, pode ser representada pelo processo
descrito na figura 5.4.

Observando o processo, após a identificação do ilı́cito, através de procedimento investiga-

tivo comum, estabelecemos a conexão com os dados no modo read-only conforme já descrito
anteriormente. Inicia-se então a pesquisa e filtragem dos dados, tomando por referência as tabe-
las descritas nas figuras 5.1 a 5.2. Nesta fase o foco principal, que difere um analista forense de
um mero usuário do sistema, é a utilização de ferramentas que garantam a integridade do dados.
Na fase de representação dos dados, procedemos com a aquisição e a autenticação do artefato
forense, iniciando nesta fase a Cadeia de Custódia1 . A última fase da metodologia proposta
trata da emissão do Termo de Copiagem de Evidência Digital que resume-se em documento
impresso para fins de constatação nos autos judiciais, onde apresenta-se a relação de evidências
adquiridas no modo Live-Acquisiton com seus respectivos hashes criptográficos, bem como
informações relevantes para a elaboração do Laudo Pericial como por exemplo: Informações
do usuário do sistema, informações de hardware, etc.

5.2 BENEFÍCIOS ECONÔMICOS

A abordagem sugerida é projetada para ser mais sensı́veis em termos de custos em virtude
da redução no tempo e dos recursos necessários tanto para investigadores forenses, bem como
para os detentores dos dados. O tempo de geração de imagem e, subseqüente tempo de análise
pode ser demasiadamente reduzido pela minimização da coleta de dados irrelevantes que nor-
malmente está “diluı́do” no corpo dos dados recolhidos através da metodologia de bit-stream, e
que acabam sendo filtrados somente durante a fase de exame.

Correspondentemente, o espaço requerido para o armazenamento das evidências pode ser

bastante reduzido, facilitando assim, os custos de demanda de hardware. O impacto dos en-
1A Cadeia de Custódia é um processo usado para manter e documentar a história cronológica da evidência,
para garantir a idoneidade e o rastreamento das evidências utilizadas em processos judiciais.
 56

volvidos (vı́timas, proprietários, etc) pode ser diminuı́do pela minimização da inatividade do
sistema se comparado com a atual abordagem de imagem off-line, resultando em diminuição
das receitas das empresas perturbações e perda, bem como a redução no tempo de elaboração
dos laudos periciais.

5.3 AVALIAÇÃO LEGAL

Não existem normas especı́ficas que regem a forense computacional no Brasil, o perito
segue à risca as normas contidas no Código de Processo Penal (Lei 3.689/41) e no Código de
Processo Civil (Lei 5.869/73), normas estas que abrangem todos os tipos de perı́cias. Abaixo foi
extraı́do do Código Processo Penal um trecho que pode ser adotado no âmbito computacional.

Art. 170. Nas perı́cias de laboratório, os peritos guardarão material sufici-

ente para a eventualidade de nova perı́cia. Sempre que conveniente, os laudos
serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou
esquemas.
Art. 171. Nos crimes cometidos com destruição ou rompimento de obstáculo
a substração da coisa, ou por meio de escalada, os peritos, além de descrever
os vestı́gios, indicarão com que instrumentos, por que meios e em que época
presumem ter sido o fato praticado.

Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletrônica
enquanto não se tem uma padronização das metodologias de análise forense.

Pode-se analisar também o Código de Processo Civil, onde existem parágrafos que tratam
das provas e regem a perı́cia em geral (Artigos 420 a 439).

Art. 332 - Todos os meios legais, bem como os moralmente legı́timos, ainda
que não especificados neste Código, são hábeis para provar a verdade dos fatos,
em que se funda a ação ou a defesa.
Art. 429. Para o desempenho de sua função, podem o perito e os assisten-
tes técnicos utilizar-se de todos os meios necessários, ouvindo testemunhas,
obtendo informações, solicitando documentos que estejam em poder de parte
ou em repartições públicas, bem como instruir o laudo com plantas, desenhos,
fotografias e outras quaisquer peças.

Este artigo dá o referido suporte para apreender equipamentos caso necessários para efetuar
perı́cias no ambiente computacional.

Existe a necessidade de se documentar quais as ferramentas de software utilizadas para se

fazer a análise, bem como a possı́vel identificação de uma linha de tempo, que pode vir a ser
conseguida através da análise dos MAC times.
 57

Além destas leis, que provê ao Perito, o amparo legal para efetuar seus serviços de perı́cia,
algumas normas brasileiras e internacionais, indicam as melhores práticas para o serviço do
perito.

A Associação Brasileira de Normas Técnicas (ABNT), em sua edição da Norma NBRISO/IEC27001,

que trata de Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança
da informação e Requisitos, no subitem 13.2.3, discorre sobre a coleta de evidências:

“Em geral, as normas para evidência abrangem: a) Admissibilidade da evidência:

se a evidência pode ser ou não utilizada na corte; b) Importância da evidência:
qualidade e inteireza da evidência.”
“(...) b) para informação em mı́dia eletrônica: convêm que imagens espelho ou
copias (dependendo de requisitos aplicáveis) de quaisquer mı́dias removı́veis,
discos rı́gidos ou em memórias sejam providenciadas para assegurar disponibi-
lidade; convém que o registro de todas as ações tomadas durante o processo de
cópia seja guardado e que o processo seja testemunhado; convém que a mı́dia
original que contém a informação e o registro (ou, caso isso não seja possı́vel,
pelo menos uma imagem espelho ou cópia) seja mantido de fora segura e in-
tocável.

No âmbito Internacional, a polı́cia federal norte americana, FBI (Federal Bureau of Inves-
tigation ) recomenda que:

“O Regulamento Federal de Evidências 16 (FRE) abrange a duplicação de

evidências digitais e sua autenticação. Para a admissibilidade, em tribunal,
as provas devem possuir uma cadeia de custódia, para demonstrar que não
ocorreu contaminação involuntária ou proposital. Preservando a evidência a
fim de garantir sua integridade, é prova irrefutável para o Tribunal considerar
sua originalidade.”

A RFC 3227 (IETF), que trata das Recomendações para Coleta e Armazenagem de Evidências
Digitais, traz o seguinte:

“Minimize as alterações nos dados que estão sendo coletados. Isto não se
limita à modificações no conteúdo, deve-se evitar a atualização do arquivo ou
o acesso ao diretório.”
“Os métodos usados para coletar evidências devem ser transparentes e repro-
dutı́veis. Você deve estar preparado para reproduzir com precisão os métodos
utilizados, e esses métodos deve, ser testados por peritos independents.”

Ainda, o CERT (Computer Emergency Response Team), no relatório “Computação Fo-

rense: Resultados do Inquérito de Resposta “In Vivo “versus Análise da Imagem da Memória”
apresenta também um método (figura 5.3) que media a abordagem de Resposta a Incidentes
e a abordagem Criminalı́stica Tradicional e que mostra a tendência dos Grupos de Resposta a
Incidentes para a adoção de metodologia semelhante à proposta neste trabalho.
 58

Figura 5.5: Referência à abordagem hı́brida - CERT

Além de toda disposição legal, seja brasileira ou internacional, apresentada acima, não
podemos deixar de citar também o Princı́pio da Razoabilidade.

Razoável, de uma forma geral, significa prudência, ponderação, sapiência, tolerância, moderação.

O Princı́pio da Razoabilidade conduz às idéias de adequação e de necessidade. Diz respeito

a tudo que seja adequado, idôneo, aceitável, relativo a tudo que não seja absurdo, ou seja, aquilo
que seja admissı́vel. Dessa forma, não basta que uma determinada atitude tenha uma finalidade
legı́tima, porém é preciso que os meios empregados sejam adequados à consecução do obje-
tivo desejado e que sua utilização, principalmente quando se trata de direitos fundamentais, no
âmbito de medidas restritivas ou punitivas, seja realmente necessária.

Partindo-se da questão: “Será que não haveria um meio menos gravoso e igualmente efi-
caz?” - é que justifica-se a proposição da metodologia de Live Acquisition onde, conhecendo
de ante-mão o delito e, com base nas tabelas compiladas pelo NIJ/DoJ, faz-se a busca de apre-
ensão pontual de evidências, sem os transtornos e encargos que envolvem a atual metodologia
de análise Post-Mortem.
 59

5.3.1 A confiabilidade da Metodologia Proposta

O público de profissionais conservadores pode alegar que as implicações para a autentici-

dade ou confiabilidade - precisão, integridade e verificabilidade - tornam esta abordagem inade-
quada. Em outras palavras, uma objeção legal antecipada desta metodologia, é que a mesma não
fornece resultados completos, passı́veis de verificação, e/ou exatos, gerando com isso, dúvidas
quanto a autenticidade ou a confiabilidade e ameaçando a admissibilidade da evidência num
procedimento jurı́dico.

Antes da evidência ser admitida, ela deve estar em conformidade com os padrões de auten-
ticidade. A autenticidade requer que o responsável pela coleta da evidência demonstre que os
dados recolhidos e oferecidos como evidência por este método, são o que ela pretende ser.

Lembramos que a metodologia tradicional é baseada em um fluxo de trabalho off-line que

está estático e relativamente indiscriminado: coletando um arquivo de imagem bit-stream de
um disco rı́gido (HD), pesquisando o arquivo de imagem, filtrando dados probantes, e extrair
alguns artefatos para a apresentação como evidência.

Crı́ticos da metodologia sugerida defendem que nessa pesquisa dinâmica e seletiva, a co-
leta e extração do corpus digital torna-se incompleta, inadequada, e com evidências de difı́cil
verificação . Por exemplo, a imagens “ao vivo” do sistema não podem ser verificadas comparando-
as com a sua fonte digital ou mı́dia de origem, porque toda a cena digital não é “congelada”
e necessariamente irá mudar como um resultado natural do funcionamento do sistema ope-
racional, e, uma análise subseqüente dos dados não adquiridos na filtragem inicial não será
possı́vel, afetando assim, possivelmente, a precisão das conclusões tiradas. Considerando do
ponto de vista da metodologia tradicional, em outras palavras, o disco original nunca deve ser
comparado com a cópia (imagem) forense como garantia que uma cópia exata do original foi
apreendida. A prática inferência é que este processo pode se tornar tendencioso, resultando na
exclusão de evidência ilibada e dúvida sobre a sua autenticidade.

5.3.2 Requisitos Autenticidade e Confiabilidade

Muitos podem argumentar que a autenticidade sob a metodologia sugerida é duvidosa. No

entanto, a norma para autenticação é que há uma ”razoável probabilidade de que a prova é o
que pretende ser ”.

Defensores do método de aquisiçãobit-stream, podem questionar a autenticidade alegando

que os dados digitais poderiam ter sido alteradas após terem sido coletados. Este argumento
 60

enfatiza a facilidade com que os registros podem ser alterados sem visı́vel detecção. Este argu-
mento não é diferente do qual a metodologia tradicional é pressionada contrariamente.

Além disso, o método apresentado envolve a utilização de técnicas de validação digital

(hash) que também é marca da metodologia tradicional e que tem sido validadas por tribunais
como suficiente para provar a integridade dos dados digitais.

Segundo o Scientific Working Group on Digitall Evidence (SWGDE) e a International

Organization on Digital Evidence (IOCE), a evidência digital deve estar em consonância com
os seguintes princı́pios:

• As ações tomadas durante o exame pericial não devem alterar as evidências;

• A cadeia de custódia das evidências deve ser montada, relatando o nome da pessoa que
está de posse da evidência, data, hora e atividades executadas;

• Todas as atividades relacionadas com a coleta, acesso, armazenamento ou transferência

da evidência digital devem ser documentadas;

• As cópias devem ser autenticadas por meio de assinaturas criptográficas;

• Jamais se deve confiar no sistema analisado; e

• Para geração das cópias, as mı́dias deverão estar devidamente saneadas (wipe2 )

Ainda, em SWGDE - Best Practices for Computer Forensics Version 2.1 (2006) quando
trata da apreenção da evidência, em suas recomendações gerais, afirma:

“. . . quando é inviável a remoção da evidência da cena, os itens da evidência

devem ser copiados ou ser feita a imagem forense de acordo com procedimen-
tos locais.”

Em nossa Legislação constatamos, no anteprojeto de reforma do Código Penal, a nova

definição de documento para fins penais, conforme preceitua o Art 303, do Capitulo IV, sob o
tı́tulo Disposições Gerais, corroborando assim a tese de aceitação do documento ou evidência
eletrônica:
2 Normalmente quando deletamos um arquivo em sistemas computacionais, eles não são totalmente apagados.
O que acontece é que retiramos apenas o “link” para o arquivo, de modo que alguns campos são setados para
zero como o “link count” e “delete time”. A metodologia WIPE se baseia neste conceito de que o arquivo não
é fisicamente apagado do disco, de modo que, para dificultar a análise forense, o arquivo especificado é aberto e
sobrescrito várias vezes com conteúdo pseudo-randômico. É conhecido como uma forma de deleção segura.
 61

“Art. 303. Considera-se documento a declaração escrita, de autoria identi-

ficável, idônea, a provar fato juridicamente relevante.”
Documento por equiparação
§1o Equipara-se a documento o impresso, a copia ou reprodução de docu-
mento, devidamente autenticados por pessoa ou processo mecânico legalmente
autorizado, bem como o dado, instrução ou programa de computador constan-
tes de processamento ou comunicação de dados de qualquer suporte fı́sico.
§2o Equipara-se a documento público o emanado de entidade autárquica ou de
fundação instituı́da pelo poder público.”

O conceito tradicional de documento, também aceito para fins penais, é o de uma represen-
tação exterior de um fato. Esta representação é feita em um meio acessı́vel ao conhecimento
humano, deixando assim de qualquer forma registrada a ocorrência fática para eventual prova
futura. Outra caracterı́stica apontada pela doutrina quanto ao documento eletrônico é a ine-
xistência de original. É o que nos esclarece Marcacini (2001):

“Estes conceitos, de documento original, ou de vias de um mesmo documento,

são inexistentes no meio eletrônico. O documento eletrônico é a sequência de
bits e, onde quer que esteja gravado, em qualquer quantidade de cópias, mas
desde que esteja reproduzida exatamente a mesma sequência, teremos sempre
o mesmo documento. Dado o fato de que o documento eletrônico pode ser
copiado infinitas vezes, mantendo-se exatamente igual à matriz, é impossı́vel
falar-se em original, em cópia, ou em número de vias do documento eletrônico
terá sempre as mesmas caracterı́sticas do original e, por isso, deve ser assim
considerada. É o caso até de dizermos que não existe um original e não exis-
tem cópias nem vias do documento eletrônico, enquanto ele for mantido nesta
forma. “
 62

6 CONCLUSÃO

Embora a metodologia proposta e a atual (bit-stream) pareçam contraditórias, ambas de-

rivam do mesmo principio básico, que é o fator probante. Diferenças significativas incluem
a quantidade global de dados inicialmente recolhidos, bem como a divisão da metodologia
de pesquisa envolvendo os dois, aquisição e identificação, pré e pós, das provas com base
em determinações relevantes. O processo apresentado não deve ser julgado pelas relativas
diferenças, quantitativas, entre as duas metodologias. No entanto, a integralidade deve con-
tinuar a ser medida pelas normas jurı́dicas da razoabilidade e pertinência.

A vantagem de recolher “tudo” é que a busca de evidências relevantes pode ser prolongada
e alargada ou revista conforme preceitua o processo legal. No entanto, os custos associados
à aquisição de “todos os dados”, em comparação com os custos de tomar uma abordagem
conforme a presente metodologia.

Não sugerimos uma abdicação da metodologia de cópia bit-a-bit em contextos em que a

análise custo-benefı́cio sugere que é razoável aderir a esta abordagem tradicional. Por exemplo,
quando um mandado de busca e apreensão, estabelece que o computador é um “instrumento”
ou ”fruto do crime”, então a apreensão e conservação de toda a máquina é aconselhável, porque
o computador, por si só se torna prova da conduta criminosa.

Entendemos que o investigador forense deve fazer a identificação e aquisição da prova em

tempo real e tomar decisões baseadas em recursos práticos no contexto do crime.

Esta realidade está se tornando mais favorável na forense digital, quando uma enxurrada
de artefatos digitais está indiscriminadamente impedindo a apreensão dos “conglomerados”
digital.

O desafio da adoção desta metodologia se encontra em ganhar aceitação geral a partir da

comunidade forense, o que implicará em desenvolvimento de ferramentas e de treinamentos de
investigadores a fim de que permitam identificar e recolher os dados digitais reduzindo o risco
de equı́vocos ou acidentes.
 63

Esta aceitação, deve ser formalizada por endosso a partir de organismos competentes no
âmbito da comunidade de forense digital

Na medida em que a metodologia de coleta evolui, mais modelos granulares descrevendo

implementações técnicas são necessárias.

A identificação obrigatória e suporte ao contexto comum de busca e apreensão de artefatos

digitais é um esforço que exige mais investigação e controle dos processos. Subsequentes de-
senvolvimentos e avaliações destes modelos devem ser incentivados pela comunidade forense
digital.

Ferramentas e técnicas estão evoluindo com as pressões relativas ao meio forense a fim
de oferecer a capacidade para a condução da metodologia de coleta seletiva de evidências “in
Vivo”.

Finalizando, assim como uma ferramenta (software) não faz o exame completo em um
computador, utilizar-se de apenas um modelo de processo forense também é limitante.

Investigadores de forense digital precisam de um repertório de ferramentas tão importante

quanto um repertório de abordagens de investigação e exames. A metodologia de coleta seletiva
de evidências “in Vivo” não é nem tampouco pretende ser a única ou última solução para todos
os casos. Ela propunha uma alternativa, economicamente viável e, eficazmente mais rápida de
aquisição, autenticação, análise e reporte de uma evidência digital.
 64

Referências Bibliográficas

HOUCK, Max M. Forensic Science: modern methods of solving crime. 1 ed. USA. Praeger.
2007.

MARCACINI, Augusto Tavares Rosa. ”O documentos eletrônico como meio de prova”.

Revista Eletrônica Avocati Locus, seção Artigos & Doutrina, http://www.advogado.com.br,
18/07/2001, acessado em 13/05/2009.

ZARZUELA, José Lopes; MATUGANA, Minoru; THOMAZ, Pedro Lourenço. Laudo

Pericial: aspectos técnicos e jurı́dicos. 1 ed. Revista dos Tribunais. São Paulo. 2000.

CALAZANS, Carlos Henrique; CALAZANS, Sandra Maria. Ciência Forense: das Origens
à Ciência Forense Computacional. 2005. Artigo. Escola Politécnica. Universidade de São
Paulo. São Paulo. 2005.

CHISUM, Jerry W.; TURVEY, Brent E..Evidence Dynamics: Locard’s Exchange Principle
& Crime Reconstruction. 2000. Artigo. Journal of Behavioral Profiling. Vol. 1. No. 1. 2000.

FERREIRA, Aurélio Buarque de Holanda. Aurélio - o Dicionário da Lı́ngua Portuguesa. 2

ed. Positivo Editora. São Paulo. 2004.

SÊMOLA, Marcos. Primeiro contato com a Ciência Forense. Coluna Firewall. Revista
IDGNow. Junho. 2007

INSTITUTO DE CRIMINALÍSTICA DO ESTADO DO PARANÁ. Disponı́vel em ¡

http://www.ic.pr.gov.br/¿ . Acesso em 20 ago. 2008.

ARAS, Vladimir. Crimes de Informática. Uma nova criminalidade. Artigo. Disponı́vel em

¡http://www.informatica-juridica.com/trabajos/artigo crimesinformticos.asp¿. Acesso em 22
ago. 2008.

NG, Reynaldo. Forense Computacional Corporativa. 1 ed. Brasport. Rio de Janeiro. 2007.

FARMER, Dan; VENEMA, Wietse; tradução Edson Furmankiewicz, Carlos Schafranski.

Pericia forense computacional. 1 ed. Pearson Prentice Hall. São Paulo. 2007

TOTAL SECURITY – O SEU PORTAL DE SEGURANÇA. Disponı́vel em ¡

http://www.totalsecurity.com.br/article.php?op=Print&sid=925¿ . Acesso em 03 set.
2008.

GUIMARÃES, Célio Cardoso; OLIVEIRA, Flávio de Souza; REIS, Marcelo Abdalla dos;
GEUS, Paulo Lı́cio de. Forense Computacional: Aspectos Legais e Padronização. Artigo.
Universidade Estadual de Campinas. 2001.
 65

NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.. Recovering and
Examining Computer Forensic Evidence. Forensic Sciense Communications. Vol. 2. No. 4.
Outubro de 2000.
PIRES, Paulo S. Da Motta. FORENSE COMPUTACIONAL: UMA PROPOSTA DE
ENSINO. Artigo. Universidade Federal do Rio Grande do Norte. 2006.
QUINTELA, Victor Manoel Dias de Oliveira; et al. TRATADO DE PERÍCIAS
CRIMINALÍSTICAS. 1 ed. Sagra-DC Luzzatto. Porto Alegre.1995.
DOS REIS, Marcelo Abdalla; DE GEUS, Paulo Licio. Análise Forense de Intrusões em
Sistemas Computacionais: Técnicas, Procedimentos e Ferramentas. Artigo. Universidade
Estadual de Campinas. 2002.
MOZAYANI, Ashraf; NOZIGLIA, Carla. The Forensic Laboratory Handbook – Procedures
and Practice. 1 ed. Humana Press. New Jersey. 2006.
FREITAS, Andrey Rodrigues de. Pericia forense aplicada à Informática: ambiente
Microsoft. 1 ed.. Brasport. Rio de Janeiro. 2006.
COSTA, Marcelo Antonio Sampaio Lemos. Computação Forense. 2 ed. Editora Millenium.
Campinas, SP. 2003.
ROBINSON, James K. Internet as the scene of crime. Disponı́vel em
http://www.usdoj.gov/criminal/cybercrime/roboslo.htm. Acesso em 22 de agosto de
2008.
CARVALHO, Daniel Baparda de. Criptografia: Métodos e Algoritmos. 1 ed. Book Express.
Rio de Janeiro. 2000.
DAVIS, Chris; COWEN, David; PHILIPP, AARON. HACKING EXPOSED – COMPUTER
FORENSICS – SECRETS & SOLUTIONS. 1 ed. McGraw-Hill/Osborne. Califórnia, USA.
2005.
CASEY, Eoghan. Handbook of Computer Crime Investigation – Forensic Tools and
Technology 2 ed. Academic Press. Califórnia, USA. 2003.
ROSA, Fabrı́zio. Crimes de Informática. 2 ed. BookSeller. Campinas, SP. 2006.
DA SILVA, Rita de Cássia Lopes. Direito Penal e Sistema Informático. 1 ed. Revista dos
Tribunais. São Paulo, SP. 2003.
DE CASTRO, Carla Rodrigues Araújo. Crimes de Informática e seus Aspectos Processuais.
1 ed. Lúmen Júris. Rio de Janeiro, RJ. 2001.
SIEBER, Ulrich. Computer crime and criminal information Law: new trends in
the international risk and information society. Disponı́vel em http://www.jura.uni-
wuerzburg.de/sieber/mitis/ComCriCriInf.htm Acesso em 15 mar 2009.
PLANTULLO, Vicente Lentini. ESTELIONATO ELETRÔNICO. 1 ed. Editora Juruá.
Curitiba, PR. 2003.
KENNEALY, Erin E.; Brown, Christopher L.T. Risk sensitive digital evidence collection.
Artigo. Digital Investigation Journal. Elsevier. Vol 2. 2005.
 66

GRECO FILHO, Vicente. “Algumas observações sobre o direito penal e a Internet. Boletim
IBCCRIM, edição especial. Ano 08, n. 95, outubro 2000.

ROSSINI, Augusto. Informática, Telemática e Direito Penal. 1 ed. Memória Jurı́dica. São
Paulo, SP. 2004.

McNAMARA, Joel. Secrets of Computer Espionage. 2 ed. Wiley Publishing. Indiana, USA.
2003.

LIMA, Paulo Marco Ferreira. Crimes de Computador e Segurança Computacional. 1 ed.

Editora Millenium. Campina, SP. 2005.

SHINDER, D. L., Scene of the Cybercrime – Computer Forensics Handbook. Syngress,

USA, 2002.

IEONG, Ricci S.C., FORZA – Digital forensics investigation framework that incorporate
legal issues. Elsevier Journal, disponı́vel em ¡http://www.sciencedirect.com/¿

Middleton, Bruce. Cyber Crime Investigator’s Field Guide. CRC Press, Florida, USA, 2002.

U.S. DoJ, National Institute of Justice. Forensic Examination of Digital Evidence: A

Guide for Law Enforcement. NCJ 199408, Abril de 2004.

U.S. DoJ, National Institute of Justice. Eletronic Crime Scene Investigation: A Guide
for First Responders. NCJ 187736, Julho de 2001.

Association of Chief Police Officers’ (ACPO). Good Practice Guide for Computer-
Based Electronic Evidence. 4a Edição, Londres, UK.

. Constituição da República Federativa do Brasil de 1988. Disponı́vel em ¡

http://www.planalto.gov.br/ccivil 03/constituicao/constituiçao.htm¿. Acesso em 25 de
setembro de 2008.

. Código de Processo Penal Interpretado: referências doutrinárias, indicações

legais, resenha jurisprudencial. 6 ed., São Paulo – SP. Atlas. 2009.

MIRABETE, Julio Fabbrini. Código Penal interpretado. São Paulo – SP. Atlas. 1999.

STEPHENSON, Peter. Investigating Computer-Related Crime: A Handbook for

Corporate Investigators. 1 ed. USA. CRC Press. 2000.

BARYAMUREEBA, V., & Tushabe, F. The Enhanced Digital Investigation Process Model.
Proceeding of Digital Forensic Research Workshop. Baltimore, MD. (2004).

BEEBE, N. l., & Clark, J. G. A Hierarchical, Objectives-Based Framework for the Digital
Investigations Process. Proceedings of Digital Forensics Research Workshop. Baltimore, MD.
(2004).

BRILL AE, Pollitt M. The evolution of computer forensic best practices: an update on
programs and publications. Journal of Digital Forensic Practice, 1:3–11(2006).

CARRIER, B., & Spafford, E. H. An Event-based Digital Forensic Investigation

Framework. Proceedings of Digital Forensics Research Workshop. Baltimore, MD. (2004).
 67

CARRIER, B., & Spafford, E. H. Getting Physical with the Digital Investigation Process.
International Journal of Digital Evidence , 2 (2). (2003).
CASEY, E. Digital Evidence and Computer Crime (2ed.). Elsevier Academic Press. (2004).
CIARDHUAIN, S. O. An Extended Model of Cybercrime Investigations. International
Journal of Digital Evidence , 3 (1). (2004).
FREILING, F. C., & Schwittay, B. A Common Process Model for Incident Response
and Computer Forensics. Proceedings of Conference on IT Incident Management and IT
Forensics. Germany. (2007).
K.ROGERS, M., Goldman, J., Mislan, R., Wedge, T., & Debrota, S. Computer Forensics
Field Triage Process Model. Proceedings of Conference on Digital Forensics, Security and
Law, (pp. 27-40). (2006).
KENT, K., Chevalier, S., Grance, T., & Dang, H. Guide to Integrating Forensic Techniques
into Incident Response, NIST Special Publication 800-86. Gaithersburg: National Institute of
Standards and Technology. (2006).
KOHN, M., Eloff, J., & Oliver, M. Framework for a Digital Forenisc Investigation.
Proceedings of Information Security South Africa (ISSA) 2006 from Insight to Foresight
Conference. South Afrika. (2006).
M.POLLITT, M. Computer Forensics: an Approach to Evidence in Cyberspace.
Proceeding of the National Information Systems Security Conference, (pp. 487-491).
Baltimore, MD. (1995).
MCCOMBIE, & Warren. Computer Forensics: An Issue of Definition. Proceeding of First
Australian Computer, Network and Information Forensics Conference.Perth. (2003).
MCKEMMISH, R. What is Forensic Computing? .Canberra Australian Institute of
Criminology . (1999).
U.S. DoJ, National Institute of Justice. Results from Tools and Technologies Working
Group. Goverors Summit on Cybercrime and Cyberterrorism. Princeton NJ. (2002).
PALMER, G. DTR - T001-01 Technical Report. A Road map for Digital Forensic Research.
Utica, New York. (2001).
REITH, M., Carr, C., & Gunsch, G. An Examination of Digital Forensic Models.
International Journal Digital Evidence , 1 (3). (2002).
ROGER, M. DCSA:Applied Digital Crime Scene Analysis. In Tipton & Krause. (2006).
STEPHENSON, P. A Comprehensive Approach to Digital Incident Investigation. Elsevier
Information Security Technical Report. Elsevier Advanced Technology. (2003).
WILLASSEN, S. Y., & Mjolsnes, S. F. Digital Forensics Research. Disponı́vel em
www.telenor.com/telektronikk/volumes/pdf/1.2005/Page 092-097.pdf (2005).
CARRIER, B. D. A Hypothesis-based Approach to Digital Forensic Investigations.
CERIAS Tech Report 2006-06, Purdue University, Center for Education and Research in
Information Assurance and Security, West Lafayette. (2006).