Apostila Computação Forense

Prévia do material em texto

<p>Introdução à computação forense</p><p>Apresentação</p><p>Atualmente, a maioria das pessoas têm acesso a uma rede de internet e a um computador, celular</p><p>ou notebook. Ou seja, todos estão sujeitos a crimes cibernéticos, que é um conceito relativamente</p><p>novo envolvendo a prática de delitos penais no meio digital.</p><p>No entanto, a partir do momento em que o crime é cometido, como é possível encontrar o</p><p>responsável pela infração, já que muitos atuam com nomes, identidades e aparências</p><p>falsificadas? Aqui é que entra em cena a computação forense: uma ciência que mescla</p><p>conhecimentos da tecnologia da informação com a criminalística, cuja finalidade é adquirir provas</p><p>retiradas de equipamentos da informática, relevantes para o processo judicial e de investigação.</p><p>Nesta Unidade de Aprendizagem, você estudará a computação forense e sua importância para a</p><p>perícia. Além disso, verá os diversos objetos da perícia e as funções da computação forense para</p><p>auxiliar na investigação propriamente dita. Por fim, conhecerá as diferentes máquinas sujeitas à</p><p>investigação.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Conceituar computação forense e suas principais atividades.•</p><p>Descrever os objetos de perícia.•</p><p>Diferenciar equipamentos desligados e ligados.•</p><p>Infográfico</p><p>A computação forense é uma ciência que se preocupa com a obtenção, a preservação e a</p><p>documentação de evidências encontradas em dispositivos digitais, tais como computadores,</p><p>notebooks, smartphones, tablets, etc. Nesse sentido, para que o trabalho do perito seja feito</p><p>adequadamente, é recomendado que ele siga certas etapas, de modo que não haja risco de</p><p>comprometimento e invalidação das evidências coletadas.</p><p>Neste Infográfico, você vai ver as diferentes etapas da computação forense e a sua importância</p><p>para o trabalho do perito computacional.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/8ea0e24a-b76e-4a05-b39f-32732c4160cc/12e20f24-d6bb-4ebe-860e-50f1faf97985.png</p><p>Conteúdo do livro</p><p>Você já foi vítima de algum golpe da internet? Já imaginou como é possível achar as pessoas que se</p><p>encontram sob perfis falsos para cometer atos ilícitos on-line? Pois bem, é a partir desses atos</p><p>criminosos envolvendo equipamentos computacionais que reside a importância da computação</p><p>forense, uma vez que ela será responsável por separar, preservar, analisar e apresentar todos os</p><p>dados, informações e atividades que foram retiradas dos aparelhos eletrônicos usados para o</p><p>cometimento de crimes cibernéticos.</p><p>O principal objetivo da computação forense é encontrar respostas e provas que possam ser</p><p>utilizadas no processo judicial e/ou investigativo para encontrar o responsável pelo crime. A</p><p>expansão e o desenvolvimento da tecnologia trouxeram também consequências negativas, como o</p><p>aumento de infrações penais ocorridas no meio digital, assim, o desafio da polícia e da justiça será</p><p>encontrar os responsáveis por esses delitos. Nesse sentido, quem entrará em ação é o perito</p><p>computacional, que, por meio de seus conhecimentos técnicos, poderá encontrar as respostas</p><p>necessárias para a resolução da investigação.</p><p>No capítulo Introdução à computação forense, base teórica desta Unidade de Aprendizagem, você</p><p>vai estudar a computação forense e sua importância para a perícia. Além disso, vai ver os diversos</p><p>objetos da perícia e as funções da computação forense para auxiliar na investigação propriamente</p><p>dita. Por fim, vai conhecer as diferentes máquinas sujeitas à investigação.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Conceituar computação forense e suas principais atividades.</p><p>> Descrever os objetos de perícia.</p><p>> Diferenciar equipamentos desligados e ligados.</p><p>Introdução</p><p>Os computadores, desde a sua invenção, passaram a desempenhar funções cada</p><p>vez mais cotidianas na vida das pessoas. Os avanços tecnológicos foram tantos que</p><p>permitiram aos computadores estar na mão da maioria das pessoas. Além disso,</p><p>eles estão cada vez mais ágeis, menores e eficientes, e as pessoas os portam em</p><p>diferentes locais, seja por meio do telefone móvel, de notebook ou de tablets.</p><p>Ademais, a internet tornou-se um ambiente completamente popularizado,</p><p>em decorrência da criação do World Wide Web (WWW) por Tim Bernes-Line em 1989</p><p>(BARWINSKI, 2009). Isso fez com que diferentes usuários de diversos computadores</p><p>pudessem trocar informações e dados sobre variados assuntos em segundos.</p><p>Assim como a internet pode ser usada para a troca de informações e experiên-</p><p>cias e para obter conhecimento do que ocorre no mundo, ela também pode servir</p><p>como ambiente para crimes virtuais. Acredita-se que futuramente as pessoas</p><p>serão vítimas de mais crimes virtuais do que físicos. Apenas para visualizar esse</p><p>cenário, de acordo com os indicadores da Central Nacional de Denúncias de Crimes</p><p>Cibernéticos, nos últimos 15 anos, “[...] a Polícia Federal recebeu e processou 561.854</p><p>denúncias anônimas envolvendo 122.554 páginas (URLs) distintas (das quais 56.360</p><p>Introdução à</p><p>computação forense</p><p>Guaracy do Nascimento Moraes</p><p>foram removidas)” (SAFERNET, 2020, documento on-line). O número de páginas</p><p>envolvendo crimes cibernéticos é vasto e cresce cada vez mais.</p><p>Neste capítulo, você vai estudar a computação forense e sua importância</p><p>para a perícia. Além disso, vai ver os diversos objetos da perícia e as funções da</p><p>computação forense para auxiliar na investigação propriamente dita. Por fim,</p><p>vai conhecer as diferentes máquinas sujeitas à investigação.</p><p>Conceitos básicos sobre computação</p><p>forense</p><p>Segundo Eleutério e Machado (2019), a inovação tecnológica trouxe diversas</p><p>vantagens para a sociedade, seja na facilidade de comunicação entre pessoas</p><p>de localidades diferentes, seja no aprimoramento no funcionamento de uma</p><p>grande empresa. Contudo, junto a essas vantagens, a inovação tecnológica</p><p>ocasionou alguns problemas, como a possibilidade de novas práticas de</p><p>infrações penais.</p><p>O artigo 158 do Código de Processo Penal (BRASIL, 1941, documento on-line)</p><p>determina que “Quando a infração deixar vestígios, será indispensável o exame</p><p>de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do</p><p>acusado”. Ou seja, nos casos em que o crime deixar vestígios, é necessária</p><p>a prática de exames periciais, que são praticados por profissionais com</p><p>conhecimentos específicos nas áreas em que se busca apurar tal ocorrência.</p><p>Por exemplo, se o vestígio deixado foi uma arma, será necessário um profis-</p><p>sional com conhecimento em armas e balística. Caso o corpo da vítima seja</p><p>encontrado, será necessário um médico que faça o exame necessário para</p><p>apurar a causa da morte.</p><p>Teixeira (2020) afirma que os recursos eletrônicos e digitais são utilizados</p><p>de maneira negativa. Contudo, ele aponta que tais recursos não se restringem</p><p>apenas à prática de infrações penais e crimes cibernéticos, mas também</p><p>acontecem em violação de segredos industriais, violação de marcas, patentes</p><p>e direitos autorais, entre outras práticas. Além disso, é importante destacar</p><p>que ações realizadas com auxílio do ambiente digital deixam vestígios. Assim,</p><p>é necessário encontrá-los para achar o responsável pelas práticas.</p><p>Segundo Eleutério e Machado (2019), os vestígios de uma atividade —</p><p>criminosa ou não — praticada por meio de um computador são digitais, já que</p><p>toda informação armazenada dentro dos equipamentos de computadores</p><p>(notebooks, tablets, celulares, etc.) é composta por bits, números zeros e</p><p>uns, em uma sequência lógica e criptografada.</p><p>Introdução à computação forense2</p><p>A expressão bit, que vem do inglês binary digit, é a representação</p><p>de dados digitais associados a dois valores, zero (0) e um (1), em que</p><p>o zero representa uma baixa voltagem e o um representa uma voltagem mais</p><p>alta. Isso é o denominado sistema binário, utilizado para identificar e transmitir</p><p>informações e dados adquiridos por meios digitais. Além disso,</p><p>11</p><p>No tema do direito cibernético, cabe ainda destacar o Marco Civil da Inter-</p><p>net, Lei nº 12.965, de 2014, importante instrumento publicado no ordenamento</p><p>jurídico pátrio com o objetivo de estabelecer princípios, garantias, direitos e</p><p>deveres para uso da internet no Brasil. Esse documento legal assegura o sigilo</p><p>de informações, comunicações, dados e registros armazenados, conforme as</p><p>disposições dos incisos do seu artigo 7º (BRASIL, 2014).</p><p>Mesmo com a publicação do Marco Civil da Internet, resta uma grande</p><p>lacuna no campo do direito penal, uma vez que a lei não alcançou todas as</p><p>relações cibernéticas, havendo inclusive diversas propostas implementadas</p><p>pela Comissão Parlamentar de Inquérito dos Crimes Cibernéticos que estão</p><p>sendo avaliadas. Um dos objetivos é estudar a prática de crimes cibernéti-</p><p>cos e os efeitos na economia do Brasil, com o intento de tornar o ambiente</p><p>da rede brasileira menos vulnerável aos crimes virtuais. Dentre possíveis</p><p>apontamentos relativos à matéria, estaria a implementação de programas de</p><p>boa governança em empresas vinculadas com publicidade digital, evitando</p><p>que sejam publicados anúncios que contenham material ilícito ou instiguem</p><p>práticas ilegais. Além disso, sugere-se que o Ministério da Justiça obrigue</p><p>instituições financeiras a notificar fraudes cibernéticas, o iria de encontro à</p><p>entrada em vigor da Lei Geral de Proteção de Dados brasileira.</p><p>Outra discussão relacionada com a atualização legislativa diz respeito à</p><p>ampliação do Marco Civil da Internet, com a adição de redações específicas à</p><p>seara criminal, com o objetivo de punir possíveis invasões de computadores.</p><p>Isso tipificaria a conduta de acesso não permitido a qualquer sistema infor-</p><p>matizado ou aparelho eletrônico que cause prejuízo econômico, alteração</p><p>de dados, instalação de vulnerabilidades, obtenção de conteúdo ou controle</p><p>remoto na plataforma e aparelho em questão. Além destes, também entrariam</p><p>delitos vinculados à invasão de aparelhos celulares e redes sociais, com uma</p><p>sugestão de punição de até dois anos de reclusão.</p><p>Outro aspecto que deve receber atenção é a teoria geral das provas no</p><p>processo penal, uma vez que as provas têm o objetivo de reconstruir os fatos</p><p>investigados no processo, buscando a maior coincidência possível com a</p><p>verdade dos fatos. Porém, as provas apresentadas no curso da investigação</p><p>e também durante a persecução penal devem ser lícitas. Já aquelas provas</p><p>consideradas ilícitas devem ser desentranhadas do processo, uma vez que</p><p>violam o artigo 5º, LVI, da Constituição Federal de 1988 (PACELLI, 2019).</p><p>Nesse sentido, quando se fala em crime cibernético, os meios de prova</p><p>admitidos são inúmeros, incluindo: mensagens de correio eletrônico (e-mails);</p><p>prints, logs e endereço de IP; atas notariais virtuais (instrumento que prova</p><p>qualquer fato que tenha ocorrido no ambiente virtual); solicitação de mandato</p><p>Fundamentos do direito penal cibernético 12</p><p>de busca e apreensão de celulares, computadores, tablets e outros instru-</p><p>mentos eletrônicos que possam evidenciar a ocorrência do crime cibernético;</p><p>solicitação de autorização de escuta, monitoramento e quebra de sigilo.</p><p>Dessa forma, é indispensável, numa sociedade que avança freneticamente</p><p>em termos tecnológicos, criar mecanismos de combate e controle de crimes</p><p>virtuais que sejam mais eficazes. Para isso, diante das ciências jurídicas, com</p><p>especial atenção à legislação de caráter criminal, deve-se dedicar atenção à</p><p>criação e/ou aperfeiçoamento legislativo, com vistas a conceder à sociedade</p><p>um ambiente virtual seguro e amparado legalmente em casos de ilícitos penais.</p><p>Também são importantes os esforços rumo à efetivação da defesa</p><p>cibernética brasileira por meio das Forças Armadas do país. A criação</p><p>do Programa de Defesa Cibernética, aliada com estudos da Escola Nacional de</p><p>Defesa Cibernética, indicam a ampliação da proteção da soberania nacional</p><p>nessa área. O documento MD31-M-07 traz apontamentos de justificativa à in-</p><p>dispensabilidade de interpelações relacionadas com o tema, da mesma forma</p><p>que indica questões operacionais.</p><p>Mesmo que o Brasil tenha iniciado sua preparação para encarar uma das</p><p>principais guerras no contexto geopolítico, ainda há muito que ser feito para que</p><p>o país esteja preparado para enfrentar os avanços tecnológicos, em especial o</p><p>combate aos delitos advindos do espaço virtual (FREIRE; CASTRO, 2020).</p><p>Tipos penais mais comuns no direito</p><p>cibernético</p><p>Os avanços tecnológicos e as facilidades oferecidas pela rede mundial de</p><p>computadores trazem uma série de benefícios à sociedade. Ao mesmo tempo,</p><p>porém, criam um ambiente fértil para práticas criminosas, uma vez que os</p><p>dados dos usuários passaram a representar importante ferramenta para a</p><p>prática de crimes cibernéticos.</p><p>De acordo com Rossini (2004, p. 44):</p><p>O conceito de “delito informático” poderia ser talhado como aquela conduta tí-</p><p>pica, ilícita e culpável, constitutiva de crime ou contravenção, dolosa ou culposa,</p><p>comissiva ou omissiva, praticada por pessoa física ou jurídica, com o uso da infor-</p><p>mática, em ambiente de rede ou fora dele, e que ofenda, direta ou indiretamente,</p><p>a segurança informática, que tem por elementos a integridade, a disponibilidade a</p><p>confidencialidade. Abarca crimes e contravenções penais, alcançando não somente</p><p>aquelas condutas praticadas no âmbito da internet, mas toda e qualquer conduta</p><p>Fundamentos do direito penal cibernético 13</p><p>em que haja relação com sistemas informáticos, quer de meio, quer de fim, de</p><p>modo que essa denominação abrangeria, inclusive, delitos em que o computador</p><p>seria uma mera ferramenta, sem a imprescindível “conexão” à rede mundial de</p><p>computadores, ou a qualquer outro ambiente telemático. Ou seja, uma fraude em</p><p>que o computador é usado como instrumento do crime, fora da internet, também</p><p>seria alcançada pelo que se denominou “delitos informáticos”.</p><p>Nesse sentido, algumas práticas são bastante comuns no ambiente ci-</p><p>bernético. Dentre aquelas previamente tipificadas no ordenamento jurídico</p><p>pátrio, estão:</p><p>� estelionato e furto eletrônicos, denominados fraudes bancárias, con-</p><p>forme previsto no artigo 155, §§3º e 4º, II, e no artigo 171, ambos do</p><p>Código Penal;</p><p>� invasão de dispositivo informático e furto de dados, disposto no artigo</p><p>154-A do Código Penal;</p><p>� falsificação e supressão de dados, tipificações encontradas nos artigos</p><p>297, 298, 299, 313-A e 313-B, todos do Código Penal (BRASIL, 1940);</p><p>� armazenamento, produção, troca, publicação de vídeos e imagens</p><p>contendo pornografia infantil, conforme artigos 241 e 241-A do Estatuto</p><p>da Criança e do Adolescente (ECA);</p><p>� assédio e aliciamento de crianças, tipo penal posto no artigo 241-D do</p><p>ECA (BRASIL, 1990a).</p><p>Os crimes contra a honra também são bastante comuns no ambiente ci-</p><p>bernético, como calúnia, difamação e injúria, dispostos no Código Penal, entre</p><p>os artigos 138 e 145. Tais crimes se tornaram práticas frequentes sobretudo</p><p>nas redes sociais, em que é fácil encontrar a difusão de falsas notícias, além</p><p>da propagação de mensagens de ódio relacionadas à orientação sexual, raça,</p><p>etnia, religião, etc.</p><p>Ademais, cabe destacar a violação de direitos autorais, prática é bastante</p><p>corriqueira, especialmente pelo volume de informações dispostos na rede</p><p>mundial de computadores. Quando uma cópia é realizada com a indicação de</p><p>citação da autoria, não é considerada ilícita; porém, não é incomum a prática</p><p>de plágio. Salienta-se que a matéria dos direitos autorais tem guarida na Lei</p><p>nº 9.610, de 1998 (BRASIL, 1998).</p><p>Delitos também comuns no ambiente virtual são os vinculados à priva-</p><p>cidade. O conceito de privacidade tem respaldo constitucional no artigo 5º,</p><p>inciso X, da Constituição Federal, que afirma: “são invioláveis a intimidade,</p><p>a vida privada, a honra e a imagem das pessoas, assegurado o direito de</p><p>Fundamentos do direito penal cibernético 14</p><p>indenização pelo dano material ou moral decorrente de sua violação” (BRASIL,</p><p>1988, documento on-line). Porém, com a expansão</p><p>do acesso à informação e</p><p>à rede mundial de computadores, não é difícil perceber a crescente invasão</p><p>da privacidade, uma vez que as formas de acesso aos dados pessoais estão</p><p>em crescimento exponencial. Tal prática delituosa ganhou proteção quando,</p><p>no ano de 2012, foi promulgada a Lei nº 12.737 sobre crimes cibernéticos,</p><p>objetivando aplicar punições mais severas e específicas para quem comete</p><p>atos criminais na rede mundial de computadores, especialmente aqueles em</p><p>que o usuário tem sua intimidade atingida por ter seu computador invadido</p><p>(BRASIL, 2012b).</p><p>Ademais, digno de atenção nesse âmbito é o crime de estelionato, previsto</p><p>no artigo 171 do Código Penal. Nesse delito, o agente usa de mecanismos para</p><p>conseguir obter “vantagem ilícita, prejuízo alheio, induzindo ou mantendo</p><p>alguém em erro, mediante artifício ardil, ou qualquer outro meio fraudulento”</p><p>(BRASIL, 1940, documento on-line). De forma análoga, a fraude no ambiente</p><p>virtual, hoje prevista expressamente pela Lei nº 14.155, de 2021, ocorre quando</p><p>o patrimônio do sujeito passivo é alcançado através de meio enganoso,</p><p>ocorrendo a consumação quando o sujeito ativo consegue a vantagem ilícita</p><p>em prejuízo alheio, sendo corriqueiro em crimes de natureza econômica,</p><p>ocasião em que o agente criminoso obtém o benefício ilegal via, por exemplo,</p><p>movimentações bancárias.</p><p>Além dessas práticas, os crimes cibernéticos também alcançam as práticas</p><p>classificadas como hediondas segundo a legislação brasileira. Tais práticas</p><p>estão definidas no artigo 1º da Lei nº 8.072, de 1990, que prevê que para</p><p>crimes hediondos não cabem anistia, graça, indulto ou fiança, como é o caso</p><p>de tortura e terrorismo (BRASIL, 1990b).</p><p>Para além dos delitos mencionados comuns na seara cibernética, ainda</p><p>vale destacar os seguintes crimes:</p><p>� ameaça, previsto no artigo 147 do Código Penal;</p><p>� cyberbullying, prática que vem se difundindo de maneira desenfreada</p><p>com a ampliação do acesso às redes sociais, muitas vezes envolvendo</p><p>a criação e publicação de perfis falsos, relacionados com ofensas, que</p><p>têm guarda nos artigos 138, 139 e 140, todos do Código Penal;</p><p>� interrupção de serviço, prevista no artigo 266, §1º, do Código Penal;</p><p>� incitação e apologia ao crime, artigos 286 e 287 do Código Penal;</p><p>� crimes de ódio, previstos no artigo 20 da Lei nº 7.716, de 1989;</p><p>� venda ilegal de medicamentos, conforme previsão do artigo 273 do</p><p>Código Penal (BRASIL, 1940).</p><p>Fundamentos do direito penal cibernético 15</p><p>Um tema corriqueiro entre os operadores do direito é o pedido de reforma</p><p>do Código Penal, para a inclusão de um capítulo exclusivo para o tratamento</p><p>de crimes cibernéticos e de informática. Aguarda designação do relator, desde</p><p>18 de fevereiro de 2021, o Projeto de Lei nº 236, de 2012, no Senado Federal.</p><p>Uma vez promulgado, passaria a contemplar, de maneira exclusiva entre os</p><p>artigos 208 e 211, os crimes cibernéticos (BRASIL, 2012c).</p><p>O artigo 208 do referido Projeto de Lei indica a diferenciação entre sistema</p><p>informático, dados informáticos, provedor de serviços e dados de tráfego.</p><p>Por sua vez, o artigo 209 passa a tipificar o acesso indevido, com previsão</p><p>de pena de 1 a 2 anos, que pode aumentar para 4 caso o crime resulte em</p><p>prejuízo econômico. Já o artigo 210 tipifica a sabotagem informática, enquanto</p><p>o artigo 211 fala sobre a representação da vítima nos crimes de natureza</p><p>cibernética, conteúdos que, da mesma forma, estão contemplados no atual</p><p>Código Penal, a partir das atualizações conferidas por meio da Lei de Crimes</p><p>Cibernéticos (BRASIL, 2012b).</p><p>Em 2013, foi proposto pelo Deputado João Arruda (PMDB/PR) o Projeto de</p><p>Lei nº 5.555, que trata da disseminação não consensual de imagens íntimas</p><p>segundo a prática de revenge porn, ou pornografia como vingança. Tal projeto</p><p>objetiva alterar a Lei nº 11.340, de 2006 (Lei Maria da Penha). Tal projeto deu</p><p>origem à Lei nº 13.772, de 19 de dezembro de 2018 (BRASIL, 2018a).</p><p>Ademais, há o Projeto de Lei nº 6.989, de 2017, de autoria do Deputado</p><p>Odorico Monteiro (PROS), que propõe alterar a legislação para possibilitar</p><p>a retirada do ar de sites, vídeos e outros meios que fomentem indivíduos</p><p>a atentarem contra a própria vida. Tal projeto se encontra arquivado pela</p><p>Câmara dos Deputados.</p><p>Outro Projeto de Lei nessa área é o nº 9.722, de 2018, de autoria do Depu-</p><p>tado Sandro Alex (PSD/PR), que pretende obrigar a criação de mecanismos de</p><p>identificação em anúncios publicitários na internet, responsabilizando quem</p><p>administra, intermedia, gerencia, disponibiliza e/ou distribui conteúdo que</p><p>abarque ilícitos penais. Tal projeto foi apensando ao Projeto de Lei nº 1.070,</p><p>de 1995, para apreciação do Plenário da Câmara (BRASIL, 2018b).</p><p>Cabe destaque, na seara penal, o Projeto de Lei nº 154 de 2019, de autoria</p><p>do Deputado José Nelto (PODE/GO), que propõe a alteração do Código Penal</p><p>para o estabelecimento de um agravante genérico para os crimes cibernéticos.</p><p>Tal proposição também se encontra pronta para apreciação pelo Plenário da</p><p>Câmara (BRASIL, 2019).</p><p>Fundamentos do direito penal cibernético 16</p><p>Ainda que diversos Projetos de Lei estejam tramitando junto ao Poder</p><p>Legislativo, inegavelmente os crimes cibernéticos se tornaram uma realidade</p><p>no cotidiano da sociedade. A cada dia um serviço novo surge no âmbito di-</p><p>gital e, com isso, os delitos cibernéticos tornam-se mais constantes e mais</p><p>sofisticados. Por tal razão, estudiosos do direito e profissionais que atuam</p><p>diretamente nessa área clamam pela institucionalização de texto legal relativo</p><p>à matéria de crimes cibernéticos no Código Penal, naquilo que concerne à</p><p>edição de um capítulo exclusivo aos delitos de natureza digital e informática</p><p>dentro da normativa legal penal de 1940.</p><p>Um estudo publicado no ano de 2020 (SILVA, L.; SILVA, P.; VILANOVA,</p><p>2020) teve o objetivo de analisar como o cyberbullying tem contribuído</p><p>para a violação dos direitos fundamentais por jovens no Brasil. A partir de uma</p><p>prática extensionista, voltada à conscientização e prevenção do cyberbullying, os</p><p>autores chegaram à conclusão de que a família e a escola desempenham papel</p><p>social e fundamental para coibir a prática delituosa por adolescentes. Como</p><p>medida de avanço social, a educação é alternativa essencial para a mudança</p><p>de paradigmas no processo de transformação da sociedade.</p><p>Referências</p><p>ALMEIDA, J. de J. et al. Crimes cibernéticos. Cadernos de Graduação: Ciências Humanas</p><p>e Sociais, v. 2, n. 3, p. 215–236, mar. 2015.</p><p>BITTENCOURT, C. R. Tratado de direito penal: parte geral. 19. ed. São Paulo: Saraiva, 2013.</p><p>BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988.</p><p>Brasília: Presidência da República, 1988. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/constituicao/constituicao.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Decreto-Lei nº 2.848, de 07 de dezembro de 1940. Código Penal. Brasília: Pre-</p><p>sidência da República, 1940. Disponível em: http://www.planalto.gov.br/ccivil_03/</p><p>decreto-lei/del2848compilado.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Decreto-Lei nº 3.689, de 03 de outubro 1941. Código de Processo Penal. Brasília:</p><p>Presidência da República, 1941a. Disponível em: http://www.planalto.gov.br/ccivil_03/</p><p>decreto-lei/del3689compilado.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Decreto-Lei nº 3.914, de 09 de dezembro de 1941. Lei de introdução do Código</p><p>Penal (Decreto-lei nº 2.848, de 7-12-940) e da Lei das Contravenções Penais (Decreto-lei</p><p>nº 3.688, de 3 outubro de 1941). Brasília: Presidência da República, 1941b. Disponível em:</p><p>http://www.planalto.gov.br/ccivil_03/decreto-lei/del3914.htm. Acesso em: 5 jul. 2021.</p><p>Fundamentos do direito penal cibernético 17</p><p>BRASIL. Lei nº 8.069, de 13 de julho de 1990. Dispõe sobre os crimes hediondos, nos</p><p>termos do art. 5º, inciso XLIII, da Constituição Federal, e determina outras providências.</p><p>Brasília: Presidência da República, 1990a. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/leis/l8072.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Lei nº 8.072, de 25 de julho de</p><p>1990. Dispõe sobre os crimes hediondos, nos</p><p>termos do art. 5º, inciso XLIII, da Constituição Federal, e determina outras providências.</p><p>Brasília: Presidência da República, 1990b. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/leis/l8072.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Lei nº 9.610, de 19 de fevereiro de 1998. Altera, atualiza e consolida a legislação</p><p>sobre direitos autorais e dá outras providências. Brasília: Presidência da República,</p><p>1998. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9610.htm. Acesso em:</p><p>5 jul. 2021.</p><p>BRASIL. Lei nº 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei nº 2.848, de</p><p>7 de dezembro de 1940 — Código Penal, o Decreto-Lei nº 1.001, de 21 de outubro de</p><p>1969 - Código Penal Militar, e a Lei nº 7.716, de 5 de janeiro de 1989, para tipificar con-</p><p>dutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam</p><p>praticadas contra sistemas informatizados e similares; e dá outras providências.</p><p>Brasília: Presidência da República, 2012a. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/_ato2011-2014/2012/lei/l12735.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de</p><p>delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 — Código</p><p>Penal; e dá outras providências. Brasília: Presidência da República, 2012b. Disponível</p><p>em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso</p><p>em: 5 jul. 2021.</p><p>BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos</p><p>e deveres para o uso da Internet no Brasil. Brasília: Presidência da República, 2014.</p><p>Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.</p><p>htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Lei nº 13.772, de 19 de dezembro de 2018. Altera a Lei nº 11.340, de 7 de agosto de</p><p>2006 (Lei Maria da Penha), e o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código</p><p>Penal), para reconhecer que a violação da intimidade da mulher configura violência</p><p>doméstica e familiar e para criminalizar o registro não autorizado de conteúdo com cena</p><p>de nudez ou ato sexual ou libidinoso de caráter íntimo e privado. Brasília: Presidência</p><p>da República, 2018a. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-</p><p>2018/2018/lei/L13772.htm. Acesso em: 5 jul. 2021.</p><p>BRASIL. Lei nº 14.155, de 27 de maio de 2021. Brasília: Presidência da República, 2021.</p><p>Disponível em: Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal),</p><p>para tornar mais graves os crimes de violação de dispositivo informático, furto e</p><p>estelionato cometidos de forma eletrônica ou pela internet; e o Decreto-Lei nº 3.689,</p><p>de 3 de outubro de 1941 (Código de Processo Penal), para definir a competência em</p><p>modalidades de estelionato. Acesso em: 5 jul. 2021.</p><p>BRASIL. Projeto de Lei nº 154/2019. Brasília: Câmara dos Deputados, 2019. Disponível em:</p><p>https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2190632.</p><p>Acesso em: 5 jul. 2021.</p><p>BRASIL. Projeto de Lei nº 236, do Senado Federal de 2012. Brasília: Senado Federal,</p><p>2012c. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/mate-</p><p>ria/106404. Acesso em: 5 jul. 2021.</p><p>Fundamentos do direito penal cibernético 18</p><p>BRASIL. Projeto de Lei nº 9.744/2018. Brasília: Câmara dos Deputados, 2018b. Dispo-</p><p>nível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposi</p><p>cao=2169062. Acesso em: 5 jul. 2021.</p><p>CARNEIRO, A. G. Crimes virtuais: elementos para uma reflexão sobre o problema na</p><p>tipificação. Âmbito Jurídico, Rio Grande, XV, n.99, abr. 2012. Disponível em: http://</p><p>www.ambitojuridico.com.br/site/index.php/?n_link=revista_artigos_leitura&artigo_</p><p>id=11529&revista_caderno=17. Acesso em: 5 jul. 2021.</p><p>FREIRE, T. M.; CASTRO, R. M. A defesa nacional brasileira e as novas formas de guerra:</p><p>desafios da soberania cibernética. In: SIMPÓSIO DE DEFESA E CIÊNCIA POLÍTICA DA</p><p>UNIVERSIDADE FEDERAL DE PERNAMBUCO, 2., 2020. Anais... Recife: UFPE, 2020. Disponível</p><p>em: https://redectidc.com.br/assets/files/anais-ii-simposio.pdf#page=32. Acesso em:</p><p>5 jul. 2021.</p><p>LAI, S.; MOURÃO, P. B. Lei 14.155/2021 dos crimes cibernéticos. [S. l.]: Jusbrasil, 2021.</p><p>Disponível em: https://sauveilai.jusbrasil.com.br/artigos/1226118167/lei-14155-2021-dos-</p><p>-crimes-ciberneticos. Acesso em: 5 jul. 2021.</p><p>LEBRE, M. Direito penal: OAB. 2. ed. Curitiba: Aprovare, 2015. (Coleção Caricaturas do</p><p>Direito).</p><p>PACELLI, E. Curso de processo penal. 23. ed. São Paulo: Atlas, 2019.</p><p>ROSSINI, A. E. de S. Informática, telemática e direito penal. São Paulo: Memória Jurídica,</p><p>2004.</p><p>SANTOS, J. C. Direito penal: parte geral. 6. ed. Curitiba: ICPC Cursos e Edições, 2014.</p><p>SANTOS, L. R.; MARTINS, L. B.; TYBUCSH, F. B. A. Os crimes cibernéticos e o direito a</p><p>segurança jurídica: uma análise da legislação vigente no cenário brasileiro contempo-</p><p>râneo. In: CONGRESSO INTERNACIONAL DE DIREITO E CONTEMPORANEIDADE: MÍDIAS E</p><p>DIREITOS DA SOCIEDADE EM REDE, 4., 2017. Anais... Santa Maria: Universidade Federal de</p><p>Santa Maria, 2017. Disponível em: http://coral.ufsm.br/congressodireito/anais/2017/7-7.</p><p>pdf. Acesso em: 5 jul. 2021.</p><p>SCHMIDT, G. Crimes cibernéticos. [S. l.]: Jusbrasil, 2014. Disponível em: http://gschmi-</p><p>dtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos. Acesso em: 5 jul. 2021.</p><p>SILVA, L. A. C.; SILVA, P. T.; VILANOVA, A. B. B. O Direito e as redes sociais: o advento do</p><p>cyberbullying e a violaçnao dos direitos fundamentais pelos adolescentes. Revista</p><p>Interdisciplinar de Extensão, v. 4, n. 7, p. 40–54, 2020. Disponível em: http://periodicos.</p><p>pucminas.br/index.php/conecte-se/article/download/23308/16664. Acesso em: 5 jul.</p><p>2021.</p><p>VILELA, P. R. Lei com penas mais duras contra crimes cibernéticos é sancionada: legis-</p><p>lação fica mais rigorosa para furtos e estelionato na internet. Brasília: Agência Brasil,</p><p>2021. Disponível em: https://agenciabrasil.ebc.com.br/politica/noticia/2021-05/lei-com-</p><p>-penas-mais-duras-contra-crimes-ciberneticos-e-sancionada. Acesso em: 5 jul. 2021.</p><p>Leituras recomendadas</p><p>BRASIL. Lei nº 7.716, de 05 de janeiro de 1989. Define os crimes resultantes de preconceito</p><p>de raça ou de cor. Brasília: Presidência da República, 1989. Disponível em: http://www.</p><p>planalto.gov.br/ccivil_03/leis/l7716.htm. Acesso em: 5 jul. 2021.</p><p>Fundamentos do direito penal cibernético 19</p><p>LIMA FILHO, P. R. A. O direito penal na quarta revolução industrial: A expansão razoável</p><p>frente aos crimes cibernéticos. Delictae: Revista de Estudos Interdisciplinares Sobre o</p><p>Delito, v. 6, n. 10, p. 215–304, 2021. Disponível em: https://www.delictae.com.br/index.</p><p>php/revista/article/view/150/115. Acesso em: 5 jul. 2021.</p><p>PADOVEZ, R. S.; PRADO, F. R. O direito penal brasileiro no contexto dos crimes ciber-</p><p>néticos. In: ETIC — ENCONTRO DE INICIAÇÃO CIENTÍFICA, 2019. Anais do ETIC 2019, v. 15,</p><p>n. 15, 2019. Disponível em: http://intertemas.toledoprudente.edu.br/index.php/ETIC/</p><p>article/view/7962. Acesso em: 25 jun. 2021.</p><p>PEREIRA, A. C.; GOMES, J. C. C. Crimes cibernéticos e impactos das novas tecnologias</p><p>na advocacia criminal. Anais UniCathedral, v. 1, n. 2, p. 79–87, 2021.</p><p>RODRIGUES, F. J. S.; CARDOSO, S. de A. M.; MARWELL, T. E. D. G. Use of virtual infiltration in</p><p>police operations to combat sexual crimes against children and adolescents. Research,</p><p>Society and Development, v. 10, n. 4, e24710414152, 2021. DOI: 10.33448/rsd-v10i4.14152.</p><p>Disponível em: https://rsdjournal.org/index.php/rsd/article/view/14152. Acesso em:</p><p>5 jul. 2021.</p><p>SOUZA, L. A. Q.; CERVINSKI, Y. É possível a prevenção e combate aos temidos crimes</p><p>virtuais? Anuário: Pesquisa e Extensão Unoesc São Miguel do Oeste, v. 6, e27776, 2021.</p><p>Disponível em: https://portalperiodicos.unoesc.edu.br/apeusmo/article/view/27776.</p><p>Acesso em: 5 jul. 2021.</p><p>SOUZA, L. de F. Marco Civil da Internet e crimes virtuais. Conteúdo Jurídico, 2018. Dis-</p><p>ponível em: https://conteudojuridico.com.br/consulta/Artigos/51965/marco-civil-da-</p><p>-internet-e-os-crimes-virtuais.</p><p>Acesso em: 5 jul. 2021.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os edito-</p><p>res declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Fundamentos do direito penal cibernético 20</p><p>Dica do professor</p><p>A teoria do fato punível, também conhecida como teoria do delito, por meio de seu conceito</p><p>analítico, considera os elementos estruturantes definidos pelo ordenamento jurídico. Assim, apenas</p><p>haverá fato punível quando esses elementos estiverem devidamente preenchidos. Atualmente,</p><p>verifica-se que a doutrina e a jurisprudência majoritária é adepta de um conceito analítico tripartite,</p><p>quando o crime é um fato típico, antijurídico e culpável. Por esse ângulo, os crimes cibernéticos são</p><p>condutas típicas, antijurídicas e culpáveis, de natureza dolosa ou culposa, praticados por pessoa</p><p>física ou jurídica, com o uso da informática, em ambiente de rede ou fora dele, e que ofenda de</p><p>forma direta ou indireta a segurança informática, que tem como elementos a integridade, a</p><p>disponibilidade e a confidencialidade. A partir desse condão, os delitos cibernéticos são divididos</p><p>em crimes próprios, também denominados puros e impróprios, conhecidos da mesma maneira</p><p>como impuros.</p><p>Nesta Dica do Professor, você vai conferir a definição de cada um dos elementos que compõem a</p><p>definição de crime, bem como o conceito de crime cibernético próprio e impróprio.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/1abf455ef66fa2cb3309d461af2e8aad</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Crimes cibernéticos</p><p>Neste vídeo, você vai acompanhar uma série de entrevistas que esclarecem questões jurídicas</p><p>relacionadas aos crimes cibernéticos. Assista.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Hackers</p><p>Neste vídeo, você vai ver a prática da ampliação do mercado dos profissionais da área de</p><p>tecnologia para manejar questões relacionadas aos crimes virtuais.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Os desafios do direito digital e das políticas públicas para</p><p>proteger o direito à privacidade no âmbito da atuação dos</p><p>provedores da internet</p><p>Neste artigo, você vai ver a análise realizada em relação aos desafios do direito digital e das</p><p>políticas públicas diante dos problemas advindos dos avanços tecnológicos da internet, como</p><p>compartilhamento de dados pessoais, publicação de conteúdo ilícito e monitoramento dos</p><p>indivíduos. Confira.</p><p>https://www.youtube.com/embed/or3mNrjTUxA</p><p>https://www.youtube.com/embed/jlNQ2vkr-kA</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Direito ao esquecimento na internet: uma análise sobre a</p><p>exposição pornográfica não consentida e o direito à intimidade</p><p>Neste artigo, você vai ver a aplicação do direito ao esquecimento na internet em casos vinculados à</p><p>exposição pornográfica não consentida.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://periodicos.uem.br/ojs/index.php/EspacoAcademico/article/view/52117</p><p>http://faculdademaringa.com.br/index.php/actiorevista/article/view/160</p><p>Etapas da perícia digital</p><p>Apresentação</p><p>Nos tempos atuais, em que muitas ações humanas, empresarias e governamentais dependem da</p><p>tecnologia da informação, o estudo sobre a perícia digital tem grande importância. Isso porque,</p><p>assim como os meios eletrônicos podem servir de suporte para a vida cotidiana, eles também</p><p>podem servir para atividades maliciosas e ilícitas que prejudicam a vida de muitas pessoas e</p><p>empresas.</p><p>Considerando que os computadores e outros dispositivos digitais podem se tornar artefatos para a</p><p>prática de crimes, eles também podem servir de auxílio para a investigação policial ou para a</p><p>produção de provas de um processo judicial. Assim, é necessário que um profissional especializado</p><p>na área de tecnologia da informação faça as diligências necessárias para extrair o máximo de</p><p>evidências possíveis do maquinário utilizado para práticas ilícitas.</p><p>Nesta Unidade de Aprendizagem, você vai estudar as etapas da perícia digital e vai entender como</p><p>cada uma dessas etapas deve ser observada adequadamente, para que não haja risco de</p><p>comprometimento e/ou inviabilidade do conjunto probatório coletado. Além disso, você vai</p><p>conhecer algumas técnicas importantes que são empregadas pelos peritos para a realização da</p><p>análise técnica dos diversos objetos computacionais que estão sujeitos à perícia ;forense. Por fim,</p><p>você vai compreender a importância do laudo pericial para a investigação e para o processo judicial</p><p>em si.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Explicar a identificação e a coleta de provas em perícia digital.•</p><p>Definir o exame e a análise de provas em perícia digital.•</p><p>Descrever as etapas do laudo pericial.•</p><p>Infográfico</p><p>A perícia digital é o procedimento técnico realizado por profissional que tem conhecimentos</p><p>específicos na área de tecnologia da informação, que vai se preocupar com a coleta, a preservação,</p><p>o exame e a análise dos vestígios eletrônicos encontrados. Após essas etapas da perícia digital, o</p><p>perito elabora um laudo, que vai conter todos os detalhes que envolveram o trabalho técnico.</p><p>Uma das preocupações no tocante à perícia digital é a proteção e segurança dos dados coletados</p><p>das máquinas encontradas em possíveis locais de crime. Assim, é necessário que o perito tome</p><p>algumas atitudes preventivas, para evitar que haja qualquer tipo de comprometimento nos arquivos</p><p>coletados.</p><p>No Infográfico a seguir, você vai ver algumas políticas de segurança adotadas pela perícia digital</p><p>para proteger a integridade dos aparelhos eletrônicos e garantir a inviolabilidade na execução dos</p><p>trabalhos forenses.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/5ea6fcc3-4ae8-44a4-8dae-4c2b5a736154/75a1b7a6-24fe-4eaf-9c90-3c95d3abc422.png</p><p>Conteúdo do livro</p><p>O crime se expandiu para além do espaço físico, partindo para o meio digital, onde é possível que</p><p>os equipamentos eletrônicos se tornem ferramentas ou meios para a prática de uma infração penal.</p><p>Assim, considerando que esses dispositivos de informática se tornam peças-chave para a prática de</p><p>um crime, eles terão uma considerável importância na análise técnica, caso eles sejam apreendidos</p><p>pela autoridade policial. A partir dessa apreensão, entra em cena o perito digital, que será</p><p>responsável por fazer o trabalho técnico, a fim de extrair todas as evidências necessárias dessas</p><p>máquinas.</p><p>Nesse sentido, o trabalho do perito não se resume a analisar o objeto e dar o seu parecer. Ele</p><p>envolve a coleta dos equipamentos encontrados, o isolamento adequado do possível local do crime,</p><p>a separação e a identificação dos equipamentos, além do acondicionamento correto para</p><p>transporte e manuseio. Também é de extrema importância proteger e preservar essas máquinas,</p><p>para que elas não sofram nenhuma avaria que possam prejudicar a sua integridade. Depois disso, o</p><p>perito começará a fazer as análises técnicas necessárias para encontrar vestígios e evidências que</p><p>comprovem a materialidade do crime ou que identifiquem o agente criminoso.</p><p>No capítulo Etapas da perícia digital, base teórica desta Unidade de Aprendizagem, você vai estudar</p><p>a importância e os detalhes das etapas da perícia digital. Assim, você vai compreender o trabalho e</p><p>as tarefas do perito digital em cada uma de suas fases, para que ele possa</p><p>apresentar o resultados</p><p>obtidos a partir de suas análises para a autoridade competente, como o juiz, o membro do</p><p>Ministério Público, a autoridade policial ou o advogado.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Explicar a identificação e a coleta de provas em perícia digital.</p><p>> Definir o exame e a análise de provas em perícia digital.</p><p>> Descrever as etapas do laudo pericial.</p><p>Introdução</p><p>Você já recebeu algum e-mail ou mensagem de texto afirmando que havia</p><p>ganhado um prêmio de algum banco no qual nem tem conta? Esse é um exemplo</p><p>de crime praticado no meio digital, um golpe aplicado por quadrilhas para</p><p>acessar dados pessoais e bancários de indivíduos, com a finalidade de fazer</p><p>identidades falsas, entre outros delitos.</p><p>Nos equipamentos de informática, como computador e smartphone, usa-</p><p>dos para praticar crimes e que tenham sido objeto de busca e apreensão,</p><p>profissionais da perícia computacional devem fazer análises técnicas e alguns</p><p>trabalhos importantes. Isso serve para que os elementos coletados tenham</p><p>valor probatório no processo judicial ou de investigação.</p><p>Neste capítulo, você vai estudar como ocorre a identificação e a coleta</p><p>dos elementos probatórios da perícia digital. Também vai conferir como essas</p><p>provas são analisadas para que profissionais cheguem às conclusões técnicas.</p><p>Por fim, você vai ler sobre como, a partir dessas conclusões, é elaborado o</p><p>laudo que será apresentado às autoridades interessadas, como juízes, Ministério</p><p>Público e autoridades policiais.</p><p>Etapas da</p><p>perícia digital</p><p>Guaracy do Nascimento Moraes</p><p>Coleta e identificação dos elementos</p><p>da perícia digital</p><p>Na área da informática, as análises técnicas são feitas pela perícia forense</p><p>computacional. Profissionais utilizam metodologias e técnicas cientificamente</p><p>comprovadas para encontrar dados e informações que estejam dentro de</p><p>algum dispositivo eletrônico, sejam eles recentes ou não, deletados, com-</p><p>pactados ou avariados. Meios específicos são usados para analisar diferentes</p><p>equipamentos computacionais e fazer com que as evidências encontradas</p><p>tenham valores probatórios.</p><p>A perícia forense pode ser definida como o conjunto de “[…] atos traduzidos</p><p>por relatório, laudo, documento ou outra forma de expressão, emitido por</p><p>profissional (perito) que detém conhecimento específico acerca da área em</p><p>questão” (TEIXEIRA, 2020, p. 268). Por sua vez, a perícia computacional lida</p><p>com evidências digitais retiradas de locais em que foi constatada a prática</p><p>de um crime. Essas evidências são afuniladas até que seja possível chegar a</p><p>uma conclusão técnica em relação ao agente, à dinâmica e à materialidade da</p><p>infração penal cometida. Portanto, a pessoa responsável pela perícia reúne</p><p>todas as evidências encontradas no local do crime, faz um juízo de valor</p><p>técnico sobre elas e as apresenta ao juiz competente ou à autoridade policial.</p><p>Os equipamentos computacionais podem ser utilizados como fer-</p><p>ramentas de apoio para a prática de crimes convencionais ou como</p><p>meios para a realização do crime. Na primeira modalidade de crime, o computador</p><p>é apenas uma ferramenta operacional. Caso ele não estivesse presente, o crime</p><p>poderia se materializar mesmo assim. Nessas situações, exames forenses são</p><p>realizados nos equipamentos para produzir provas técnicas que serão funda-</p><p>mentais para o juiz. Exemplos de crimes nessa modalidade são a sonegação de</p><p>impostos e a falsificação de documentos. Já na segunda modalidade de crime,</p><p>o computador é considerado uma peça-chave para a prática do delito. Sem ele,</p><p>o crime não se materializaria. Existem infrações penais específicas que dependem</p><p>da utilização do meio digital, como publicação, venda e compartilhamento de</p><p>pornografia infantil. Outro exemplo ocorre quando um programa de computador</p><p>é instalado com a finalidade de roubar dados bancários de correntistas.</p><p>Etapas da perícia digital2</p><p>O trabalho dos peritos envolve diversas tarefas e etapas que precisam</p><p>seguir uma ordem e usar mecanismos específicos para que os elementos</p><p>coletados não se tornem inviáveis ou sejam destruídos pela falta de cuidado</p><p>e de organização. Essas etapas são as seguintes, de acordo com Teixeira</p><p>(2020): obtenção e coleta de dados; identificação de indícios; preservação</p><p>das provas; e análise pericial.</p><p>Antes da coleta propriamente dita, é primordial que os elementos pro-</p><p>batórios sejam obtidos de maneira lícita sob a emissão de um mandado de</p><p>busca e apreensão. Além disso, os procedimentos para a coleta de informa-</p><p>ções devem ser formais, seguindo uma metodologia predeterminada sobre</p><p>como adquirir provas para serem apresentadas em juízo. As provas obtidas</p><p>em casos de crimes computacionais podem ser: provas digitais, que são</p><p>dados importantes para o processo judicial ou de investigação armazenados</p><p>digitalmente; dados-objetos, que são objetos associados a itens físicos;</p><p>e itens físicos, que são mídias físicas que armazenam os dados digitais ou por</p><p>onde são transmitidos (exemplos: HD, pen drive, celular, etc.) (TEIXEIRA, 2020).</p><p>As informações nos dispositivos de informática (mídias digitais, dispositivos</p><p>de armazenamento, etc.) e os dados voláteis (que ficam na memória RAM ou em</p><p>rede de computadores) devem ser coletados e preservados adequadamente,</p><p>a fim de que não sejam adulterados. Além disso, deve-se trabalhar com a cópia</p><p>do arquivo digital coletado, pois, caso haja algum problema com os dados</p><p>dessa cópia, como perda ou danificação, ainda haverá o arquivo original.</p><p>Segundo Sousa (2017, p. 102), na fase de preservação e coleta “[...] que será</p><p>possível buscar elementos (dados, mídias de armazenamento, entre outros)</p><p>de maneira a consolidar uma base investigativa para as fases seguintes da</p><p>perícia”. Para dados voláteis, o armazenamento é feito principalmente em</p><p>rede de computadores, cujos dados trafegam livremente pela entrada e saída</p><p>de dados de um computador ou de um ponto de rede.</p><p>De acordo com Galvão (2013), para capturar e analisar dados que constam no</p><p>tráfego de redes é utilizado software de Network Forensic Analysis Tools (NFAT).</p><p>Nessa categoria de software, há também o programa TCPDUMP que tem</p><p>uma interface mais agradável, além de uma infraestrutura mais flexível para</p><p>capturar dados em redes de computadores. Outro exemplo desse tipo de</p><p>software é o Wireshark, que tem um maior alcance para captura de pacotes</p><p>de dados em redes de computadores.</p><p>Etapas da perícia digital 3</p><p>Após a coleta dos dados, é importante que o perito computacional iden-</p><p>tifique os possíveis indícios resultantes desses dados, porque “[…] cada tipo</p><p>de ato ou crime de informática possibilita um tipo de evidência” (TEIXEIRA,</p><p>2020, p. 270). Os indícios encontrados em um arquivo de mídia podem criar</p><p>uma evidência que indique a prática de um crime ou auxilie na identificação</p><p>do criminoso. Portanto, a identificação de indícios é muito importante para</p><p>obter evidências concretas à investigação em curso. Por exemplo, pense no</p><p>caso de uma quadrilha que atua na comercialização de conteúdos pornográ-</p><p>ficos de crianças e adolescentes. É feita uma busca e apreensão no possível</p><p>local do crime e, entre os elementos digitais encontrados, está um pen drive.</p><p>Ao coletar os dados armazenados na mídia digital, o perito encontrou fotos</p><p>obscenas envolvendo crianças e adolescentes, que se tornaram evidências</p><p>importantes que comprovam a materialidade e a prática do crime. Além disso,</p><p>podem auxiliar na procura pelos responsáveis.</p><p>É primordial que o perito saiba diferenciar os fatos dos fatores que</p><p>possam causar influências no caso. Para isso, deve ser feito o le-</p><p>vantamento de dados relevantes para buscar fatores que têm alguma relação,</p><p>direta ou indireta, com a prática do crime computacional, como datas, nomes</p><p>de pessoas, horários, empresas, órgãos públicos e instituições (TEIXEIRA, 2020).</p><p>Preservação e análise técnica dos</p><p>elementos da perícia digital</p><p>De acordo com Teixeira (2020), a fase de preservação das provas começa no</p><p>local do crime com as provas encontradas</p><p>nele. É importante que os primeiros</p><p>a chegar ao local tomem certas precauções para garantir a integridade dos</p><p>indícios digitais, como não modificar o espaço físico, não desligar ou ligar</p><p>equipamentos de informática, etc.</p><p>O criminoso pode ter instalado algum software que programe a destruição</p><p>das provas nos equipamentos caso eles sejam desligados, ligados ou manu-</p><p>seados incorretamente. Por isso, somente o perito computacional, que tem</p><p>conhecimentos específicos para manusear corretamente esses dispositivos,</p><p>deve manusear os equipamentos de informática encontrados no possível do</p><p>local do crime. É necessário garantir a proteção desses equipamentos para</p><p>que não haja avarias no momento da coleta. Além disso, os arquivos originais</p><p>Etapas da perícia digital4</p><p>precisam ser preservados como foram encontrados. Como vimos antes,</p><p>o perito deve fazer suas análises técnicas numa cópia, para não haver risco</p><p>de adulteração ou comprometimento da evidência original. Segundo Teixeira</p><p>(2020, p. 271), “[…] deve se clonar bit a bit, inclusive nas partes não utilizadas,</p><p>pois elas podem conter dados valiosos que foram apagados, mas passíveis</p><p>de recuperação”.</p><p>É necessário criar uma cadeia de custódia identificando todas as provas,</p><p>que devem ser “[…] etiquetadas, documentadas e marcadas com as iniciais</p><p>do perito, a hora e a data, o número do processo e dados de identificação”</p><p>(TEIXEIRA, 2020, p. 271). As evidências digitais encontradas são embaladas</p><p>em sacos apropriados para o transporte o mais rápido possível. Durante o</p><p>trajeto, não podem passar por locais com campos magnéticos ou ser expostas</p><p>a altas temperaturas e luminosidade. O Quadro 2 apresenta um exemplo de</p><p>formulário de cadeia de custódia.</p><p>Quadro 2. Exemplo de formulário de cadeia de custódia</p><p>NÚMERO DO CASO: 20090226</p><p>DETALHES DA MÍDIA OU EQUIPAMENTO</p><p>ITEM DESCRIÇÃO</p><p>1 HD DO NOTEBOOK COM 2GB DE CAPACIDADE</p><p>FABRICANTE MODELO NÚMERO DE SÉRIE</p><p>SAMSUNG SGM2GB ABC123456</p><p>SOBRE A IMAGEM DOS DADOS</p><p>DATA HORA CRIADO POR FERRAMENTA USADA</p><p>26/02/2009 10:53 SILVIO DO MONTE EnCASE VERSION 3</p><p>TIPO DE CÓPIA HASH</p><p>DISCO COMPLETO 4e3d2d5e5427953d7eda6ddc667bf6b</p><p>(Continua)</p><p>Etapas da perícia digital 5</p><p>CADEIA DE CUSTÓDIA</p><p>CÓDIGO ORIGEM DATA HORA DESTINO DATA HORA</p><p>1 LOCAL DE</p><p>APREENSÃO</p><p>26/02/2009 17:00 PERÍCIA 26/02/2009 17:30</p><p>Fonte: Adaptado de Tolentino, Silva e Mello (2011).</p><p>Depois da correta preservação dos elementos coletados no local do crime,</p><p>o perito realiza a análise técnica das evidências, considerada a etapa mais</p><p>importante da perícia por muitos doutrinadores. Queiroz e Vargas (2010)</p><p>explicam que a análise de dados atua no exame das evidências coletadas</p><p>para que, ao final do procedimento pericial, seja possível chegar a uma</p><p>conclusão científica sobre o crime que deu origem à investigação. De acordo</p><p>com Teixeira (2020), quando o perito computacional realiza uma análise</p><p>forense num dispositivo de informática, principalmente quando este serve</p><p>para armazenamento e transmissão de e-mails ou arquivos, ele precisa ter</p><p>cautela para não invadir a privacidade dos usuários do sistema. O ideal é</p><p>definir um escopo, restringindo a área de análise ao máximo possível, a fim</p><p>de evitar a violação de privacidade de terceiros inocentes.</p><p>Eleutério et al. (2019) afirmam que o perito computacional deve fazer</p><p>uma separação detalhada dos tipos de arquivos que serão analisados e usar</p><p>palavras-chaves para identificar cada um desses elementos, para que fique</p><p>fácil a sua identificação. Tal atitude permite que o trabalho do perito seja mais</p><p>fácil e ágil, pois não perderá tempo organizando as evidências encontradas.</p><p>A análise forense pode ser dividida em duas fases: análise física e análise</p><p>lógica. A primeira trata-se da pesquisa de sequências e extração de dados de</p><p>toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia.</p><p>A segunda consiste na análise dos arquivos das partições, em que o sistema é</p><p>investigado de forma a percorrer os diretórios do objeto periciado. Além disso,</p><p>alguns detalhes devem ser observados no decorrer das análises física e lógica</p><p>dos equipamentos computacionais objetos de perícia, como a utilização de</p><p>softwares, que também ajudam a conferir a veracidade dos acontecimentos.</p><p>É a pessoa responsável pela perícia digital que define qual tipo cabe melhor</p><p>a esse fim, como “[…] ferramentas para recuperação de dados, análise de</p><p>memória, análise de dados de uma rede, entre muitas outras ferramentas</p><p>digitais” (TEIXEIRA, 2020, p. 271). É possível, também, fazer a análise da memória</p><p>on-line, com o equipamento ligado e executando processos, possibilitando a</p><p>obtenção de materiais importantes para comprovar o delito.</p><p>(Continuação)</p><p>Etapas da perícia digital6</p><p>O disco rígido, principal dispositivo de armazenamento dos computadores, é proje-</p><p>tado para evitar perdas e danos acidentais aos dados. Porém, os antiforenses são</p><p>métodos de remoção, ocultação, eliminação e subversão de evidências com o obje-</p><p>tivo de mitigar e impedir os resultados de análises forenses (TEIXEIRA, 2020, p. 271).</p><p>Um dos principais problemas da análise forense é que, muitas vezes,</p><p>as ferramentas utilizadas não são habilitadas para recuperar todas as infor-</p><p>mações necessárias, nem para analisar todos os dados contidos no equipa-</p><p>mento encontrado. Contudo, tudo o que for encontrado deve ser analisado</p><p>da melhor maneira possível, mesmo que isso demore muito tempo (o que</p><p>normalmente ocorre), pois esses elementos podem trazer provas valiosas</p><p>para a investigação ou para o processo judicial.</p><p>Laudo pericial</p><p>O laudo pericial é o documento elaborado pelo perito forense em que constam</p><p>todos os relatos de um exame técnico realizado sobre determinado assunto. O</p><p>laudo serve como prova técnica, que será utilizada pelos principais interessa-</p><p>dos, como autoridade policial, membro do Ministério Público, juiz, advogado,</p><p>etc. (TEIXEIRA, 2020). É a última etapa do trabalho do perito forense. Elabora-</p><p>-se um relatório final contendo a descrição das análises técnicas feitas no</p><p>objeto examinado. O laudo não tem um modelo padrão a ser confeccionado,</p><p>mas certas orientações precisam ser seguidas para que ele seja feito com</p><p>clareza e objetividade.</p><p>O laudo pericial é composto dos resultados encontrados pelo perito após</p><p>minuciosas investigações em laboratório, detalhando tudo o que foi coletado e</p><p>analisado, assim como o meio utilizado para a investigação e como foi provada</p><p>a veracidade dos objetos recolhidos, terminando com as conclusões do perito</p><p>(TOLENTINO; SILVA; MELLO, 2011). Essa é a fase de formalização do estudo, com</p><p>base nas análises feitas nos objetos coletados no local do crime, e apresenta</p><p>o resultado obtido com as evidências digitais encontradas. Esse laudo deve</p><p>ser imparcial. O perito apenas apresenta os relatos do que foi encontrado</p><p>nos objetos analisados, sem qualquer tipo de opinião ou julgamento. Quem</p><p>julga é o juiz responsável, que se fundamentará nas evidências apresentadas</p><p>pela perícia digital.</p><p>Segundo o parágrafo único do art. 160 do Código de Processo Penal, “[…] o</p><p>laudo pericial será elaborado no prazo máximo de 10 dias, podendo este</p><p>prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos”</p><p>(BRASIL, 2017). Nos casos de perícia técnica feita em processo civil, o prazo</p><p>Etapas da perícia digital 7</p><p>para apresentação do laudo pericial será estipulado pelo juiz. Não há um prazo</p><p>mínimo para tanto, desde que ele seja entregue 20 dias antes da audiência</p><p>de instrução e julgamento, conforme determina o art. 477, caput, do Código</p><p>de Processo Civil (BRASIL, 2017).</p><p>O laudo pericial deve ter uma linguagem de fácil entendimento, seja para</p><p>o juiz, seja para todas as partes envolvidas no processo judicial. O art. 473,</p><p>§ 1º, do Código de Processo Civil determina que, “no laudo, o perito deve</p><p>apresentar sua fundamentação em linguagem simples e com coerência lógica,</p><p>indicando como alcançou suas conclusões” (BRASIL, 2015). Sendo assim,</p><p>é muito importante que o perito utilize linguagem correta</p><p>e simples, evitando</p><p>uso de expressões técnicas não conhecidas pelo público em geral.</p><p>O laudo pericial, portanto, representa a materialização física de todas</p><p>as análises feitas pelo perito computacional em todos os dispositivos de</p><p>informática coletados no local do crime. Por isso, esses dispositivos precisam</p><p>ser devidamente preservados, garantindo a integridade dessas evidências,</p><p>que serão entregues para a autoridade judiciária responsável.</p><p>A preservação dos elementos coletados e as técnicas apropria-</p><p>das para analisá-los são muito importantes para a perícia digital,</p><p>a fim de garantir a integridade das evidências. Caso aconteça algum equívoco</p><p>ou imprudência na análise ou na preservação dos elementos, essas situações</p><p>precisam ser relatadas no laudo pericial. Assim, a autoridade competente vai</p><p>verificar se, mesmo com o risco de a prova ter perdido a sua integridade, ela</p><p>mantém seu valor probatório. Por exemplo, o assistente da perícia não teve</p><p>cuidado ao manusear o notebook que levava ao local do crime, deixando-o cair</p><p>no chão. O aparelho continuou funcionando, e o perito técnico conseguiu fazer</p><p>as análises necessárias. No entanto, é importante constar no laudo que esse</p><p>aparelho sofreu um pequeno acidente pela imprudência da equipe pericial, mas</p><p>que, mesmo assim, foi possível finalizar os exames técnicos.</p><p>Neste capítulo, você estudou as etapas da perícia digital e a sua importância</p><p>para o processo judicial e de investigação. Conheceu como ocorre a coleta</p><p>dos objetos de informática encontrados no local do crime e a relevância da</p><p>preservação desses dispositivos antes do manuseio do perito. Além disso,</p><p>Etapas da perícia digital8</p><p>ficou evidente que a correta preservação dos equipamentos computacionais</p><p>é fundamental para que eles não sofram avarias no transporte, manuseio</p><p>e/ou estoque. Foi possível constatar, também, a importância da análise téc-</p><p>nica realizada pelo perito computacional. Ela possibilita extrair o máximo de</p><p>evidências possíveis dos elementos encontrados pelas autoridades policiais</p><p>e, assim, o profissional pode confeccionar o laudo pericial, que narra todos</p><p>os resultados obtidos dos exames técnicos.</p><p>Referências</p><p>BRASIL. Código de Processo Penal. Brasília, DF: Senado Federal, 2017. Disponível em:</p><p>https://www2.senado.leg.br/bdsf/bitstream/handle/id/529749/codigo_de_processo_</p><p>penal_1ed.pdf. Acesso em: 5 ago. 2021.</p><p>BRASIL. Lei n. 13.105, de 16 de março de 2015. Diário Oficial da União, Brasília, DF, ano 152,</p><p>n. 51, seção 1, p. 1-51, 17 mar. 2015. Disponível em: https://pesquisa.in.gov.br/imprensa/</p><p>jsp/visualiza/index.jsp?jornal=1&pagina=1&data=17/03/2015. Acesso em: 29 abr. 2021.</p><p>GALVÃO, R. K. M. Introdução à análise forense em redes de computadores. São Paulo:</p><p>Novatec, 2013.</p><p>QUEIROZ, C.; VARGAS, R. Investigação e perícia forense computacional. Rio de Janeiro:</p><p>Brasport, 2010.</p><p>TEIXEIRA, T. Direito digital e processo eletrônico. 5. ed. São Paulo: Saraiva Educação, 2020.</p><p>TOLENTINO, L.; SILVA, W.; MELLO, P. Perícia forense computacional. Tecnologias em</p><p>Projeção, v. 2, n. 2, p. 32-37, dez. 2011. Disponível em: http://revista.faculdadeprojecao.</p><p>edu.br/index.php/Projecao4/article/view/168/149. Acesso em: 5 ago. 2021.</p><p>Leituras recomendadas</p><p>BEGOSSO, R. H. Computação forense. 2010. 41 f. Monografia (Bacharelado em Ciência</p><p>da Computação) – Fundação Educacional do Município de Assis, 2010. Disponível em:</p><p>https://cepein.femanet.com.br/BDigital/arqTccs/0711270016.pdf. Acesso em: 5 ago. 2021.</p><p>ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. 2. ed. São</p><p>Paulo: Novatec, 2019.</p><p>GONÇALVES, M. et al. Perícia forense computacional: metodologias, técnicas e ferra-</p><p>mentas. Revista Científica Eletrônica de Ciências Sociais Aplicadas da Eduvale, v. 5,</p><p>n. 7, p. 1-17, nov. 2012. Disponível em: http://eduvalesl.revista.inf.br/imagens_arquivos/</p><p>arquivos_destaque/LXkEA5FVHGZF1FB_2015-12-19-2-33-33.pdf. Acesso em: 5 ago. 2021.</p><p>PEREIRA, E. F. de O. et al. Revisão sistemática da literatura na computação forense:</p><p>um estudo de caso aplicado na recuperação de dados em mídias digitais. In: INTER-</p><p>NATIONAL CONFERENCE ON INFORMATION SYSTEMS AND TECHNOLOGY MANAGEMENT,</p><p>16., 2019, São Paulo. Anais […]. São Paulo: Brazilian Chapter of the Association for</p><p>Information Systems, 2019. Disponível em: http://www.contecsi.tecsi.org/index.php/</p><p>contecsi/16CONTECSI/paper/view/6138/3539. Acesso em: 5 ago. 2021.</p><p>Etapas da perícia digital 9</p><p>REIS, M. A. Forense computacional e sua aplicação na segurança imunológica. 2003.</p><p>251 f. Dissertação (Mestrado em Ciência da Computação) – Universidade Estadual</p><p>de Campinas, Campinas, 2003. Disponível em: http://repositorio.unicamp.br/jspui/</p><p>bitstream/REPOSIP/276322/1/Reis_MarceloAbdallados_M.pdf. Acesso em: 5 ago. 2021.</p><p>SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de Ciências</p><p>e Saúde, v. 2, n. 1, p. 99-111, 2016. Disponível em: https://www2.ls.edu.br/actacs/index.</p><p>php/ACTA/article/view/138/128. Acesso em: 5 ago. 2021.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os edito-</p><p>res declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Etapas da perícia digital10</p><p>Dica do professor</p><p>A perícia digital é composta por etapas que são fundamentais para o bom desempenho do trabalho</p><p>do profissional técnico. Nesse sentido, a coleta dos dados é a primeira etapa realizada pelo perito,</p><p>que consiste na obtenção das evidências encontradas, utilizando-se metodologias específicas e</p><p>formais para que tais evidências possam servir como provas para o processo investigativo.</p><p>Nesta Dica do Professor, você vai conhecer algumas ferramentas e técnicas praticadas pelos</p><p>peritos digitais na etapa de coleta de evidências.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/8b59268281101bfd900ba033d74ca138</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Webinar: diretrizes para identificação, coleta, aquisição e</p><p>preservação de evidência digital</p><p>No vídeo a seguir, você vai ver como acontece a perícia digital, analisando cada uma de suas etapas,</p><p>desde a identificação dos equipamentos, passando pela coleta de dados e chegando à preservação</p><p>do maquinário.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>WhatsApp como meio de prova no judiciário brasileiro: uma</p><p>análise sobre os riscos de fraude desse meio de prova</p><p>Neste artigo, você vai entender como os avanços do aplicativo de mensagens WhatsApp</p><p>influenciam a integridade e a validade das mensagens como provas periciais.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Apontamentos sobre a cadeia de custódia da prova digital no</p><p>Brasil</p><p>Neste artigo, você vai ver uma análise sobre a importância da cadeia de custódia para o trabalho da</p><p>perícia digital, que vai auxiliar na coleta e organização dos dados.</p><p>https://www.youtube.com/embed/zpMm6GjBxaQ</p><p>http://publica.sagah.com.br/publicador/objects/attachment/379918746/Whatsappcomomeiodeprovanojudiciriobrasileiro.pdf?v=1776769873</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Perícia computacional em artefatos digitais de interceptações</p><p>telefônicas</p><p>Neste artigo, você vai verificar como ocorre a perícia computacional em artefatos digitais que</p><p>foram sujeitos a interceptações telefônicas.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Modelo de laudo forense pericial considerando dispositivos de</p><p>redes de computadores</p><p>Neste artigo, você vai ver uma análise sobre a realização</p><p>de uma perícia digital em um ambiente</p><p>corporativo que tem uma rede de computadores, considerando o ambiente da perícia e os</p><p>elementos encontrados.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>http://publica.sagah.com.br/publicador/objects/attachment/757995666/ApontamentossobreacadeiadecustdiadaprovadigitalnoBrasil.pdf?v=282584229</p><p>http://publica.sagah.com.br/publicador/objects/attachment/210579243/PerciaComputacionalemArtefatosDigitaisdeInterceptaesTelefnicas.pdf?v=1229868619</p><p>http://publica.sagah.com.br/publicador/objects/attachment/1756319748/ModelodeLaudoForensePericialConsiderandoDispositivosdeRedesdeComputadores.pdf?v=525449996</p><p>Evidências digitais</p><p>Apresentação</p><p>A computação forense é o campo da ciência forense que se preocupa em recuperar, armazenar e</p><p>analisar dados digitais que podem ser úteis em investigações criminais. Isso inclui informações de</p><p>computadores, notebooks, discos rígidos, celulares, smartphones e outros dispositivos de</p><p>armazenamento de dados.</p><p>O principal objetivo desse campo da ciência é a realização de uma investigação muito bem</p><p>organizada em um dispositivo eletrônico para entender o que ocorreu ou quem foi o responsável</p><p>por isso, enquanto, ao mesmo tempo, alimenta uma série de evidências muito bem documentadas</p><p>em um relatório completo.</p><p>Uma evidência digital consiste em informações e dados de valor para uma investigação que são</p><p>armazenados, recebidos ou transmitidos por esses dispositivos digitais. É possível ter essas</p><p>evidências quando os dispositivos são apreendidos e protegidos para perícia.</p><p>Nos últimos anos, as fontes de dados se tornaram cada vez mais variadas e importantes, incluindo</p><p>veículos motorizados, drones e na nuvem (cloud). Assim, peritos enfrentam desafios como extrair</p><p>dados de dispositivos danificados ou destruídos, localizar itens individuais de evidências entre</p><p>grandes quantidades de dados e garantir que seus métodos capturem dados de forma confiável,</p><p>sem alterá-los de nenhuma forma. Dessa forma, é necessário conhecer normas que padronizam o</p><p>tratamento/manuseio dessas evidências a fim de protegê-las contra possíveis adulterações, danos e</p><p>perdas.</p><p>Nesta Unidade de Aprendizagem, você vai saber identificar o que é o tratamento de uma evidência</p><p>digital e seus aspectos. Além disso, vai entender todas as fases que compõem esse processo, bem</p><p>como seus principais componentes. Por fim, vai compreender o que deve ser feito ao se deparar</p><p>com evidências não digitais que podem ajudar em um processo de investigação, bem como lidar</p><p>com dispositivos digitais de missão crucial, ou seja, aqueles que não podem ser desligados.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Explicar o tratamento da evidência digital. •</p><p>Descrever os principais componentes de identificação, coleta, aquisição e preservação de</p><p>evidência digital.</p><p>•</p><p>Conceituar a coleta de evidência não digital e os dispositivos digitais de missão crucial.</p><p>•</p><p>Infográfico</p><p>É altamente recomendado aos indivíduos que irão realizar o tratamento da evidência digital que</p><p>tenham competência sobre identificação e administração de riscos e consequências que possam</p><p>vir de possíveis linhas de conduta quando lidam com a evidência. Um simples erro no</p><p>tratamento pode a inutilizar para os devidos fins.</p><p>Neste Infográfico, você vai conhecer as fases que devem ser seguidas para tratar evidências</p><p>digitais.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/8f930762-2266-4c36-a6a0-37d6ac29be59/7d3d921d-55af-463f-9da8-44e904ca8e3b.jpg</p><p>Conteúdo do livro</p><p>Uma evidência digital é qualquer informação probatória armazenada ou transmitida em formato</p><p>digital que pode ser usada no processo investigativo de um cibercrime ou incidente. Antes de essa</p><p>evidência ser aceita, um tribunal determinará se ela é relevante, autêntica, verdadeira e se uma</p><p>cópia é aceitável. Nesse contexto, o papel da computação forense é apresentar as descobertas de</p><p>um perito digital de forma que sejam aceitáveis e utilizáveis para serem julgadas.</p><p>No capítulo Evidências digitais, base teórica desta Unidade de Aprendizagem, você vai conhecer as</p><p>diferentes fontes de evidências digitais, bem como entender os principais componentes para</p><p>identificar, coletar, adquirir e preservar as evidências e como os peritos agem com evidências não</p><p>digitais e dispositivos de missão crucial em meio a uma investigação.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Explicar o tratamento da evidência digital.</p><p>> Descrever os principais componentes de identificação, coleta, aquisição e</p><p>preservação de evidência digital.</p><p>> Conceituar a coleta de evidência não digital e os dispositivos digitais de</p><p>missão crucial.</p><p>Introdução</p><p>Com o desenvolvimento tecnológico sempre avançando, as pessoas passam</p><p>cada vez mais tempo, seja trabalhando ou por lazer, no ciberespaço. E, com isso,</p><p>infelizmente, os aspectos negativos do espaço físico também chegaram ao cibe-</p><p>respaço: os cibercrimes.</p><p>Com esse gasto de tempo elevado em ambientes virtuais, as pessoas pas-</p><p>saram a deixar uma quantidade significativa de dados, que também podem ser</p><p>obtidos por meio das mais diversas formas maliciosas. A investigação de crimes</p><p>foi originalmente baseada no mundo real, mas as evidências/dados agora também</p><p>podem ser obtidas no formato digital. Nesse contexto, os métodos forenses para</p><p>obtenção de provas digitais ainda estão evoluindo, à medida que o volume dos</p><p>dados digitais continua crescendo.</p><p>Neste capítulo, você vai estudar o que é e como é feito o tratamento de uma</p><p>evidência digital. Além disso, vai conhecer os principais componentes de identifi-</p><p>cação, coleta, aquisição e preservação digital, bem como identificar como a coleta</p><p>de evidência não digital e a em dispositivos digitais de missão crucial são feitas.</p><p>Evidências digitais</p><p>Nicolli Rios</p><p>Tratamento da evidência digital</p><p>A computação forense é um ramo da ciência forense que lida com a aplicação</p><p>de técnicas de análise investigativa em computadores a fim de recuperar e</p><p>preservar evidências de uma forma legalmente aceitável. Um aspecto impor-</p><p>tante da ciência da computação forense reside na capacidade do especialista</p><p>de apresentar as descobertas de uma forma que seja aceitável e utilizável</p><p>para ser julgada.</p><p>Assim, a finalidade da computação forense é realizar uma investigação</p><p>estruturada em um dispositivo de computação para descobrir o que acon-</p><p>teceu ou quem foi o responsável pelo que aconteceu, ao mesmo tempo em</p><p>que mantém uma cadeia de evidências devidamente documentada em um</p><p>relatório formal.</p><p>Uma evidência digital é definida como qualquer dado armazenado ou</p><p>transmitido por meio de um dispositivo digital que apoia ou refuta uma teoria</p><p>de como um incidente ocorreu ou que aborda elementos críticos dele, como</p><p>intenção ou álibi (CASEY, 2011). Nesse contexto, os dados são essencialmente</p><p>uma combinação de números que representam informações de vários tipos,</p><p>incluindo texto, imagens, áudio e vídeo.</p><p>Quando consideramos as mais diversas fontes de evidência digital,</p><p>os sistemas de computador costumam ser categorizados nos seguintes grupos</p><p>(HENSELER, 2000).</p><p>� Sistemas de computador abertos — O que a maioria das pessoas chama</p><p>de computadores, são sistemas compostos por discos rígidos, teclados</p><p>e monitores, como notebooks, desktops e servidores que obedecem</p><p>aos padrões. Esses sistemas, com suas quantidades cada vez maiores</p><p>de espaço de armazenamento, podem ser ricas fontes de evidências</p><p>digitais. Um arquivo simples pode conter informações incriminatórias e</p><p>pode ter propriedades associadas que são úteis em uma investigação,</p><p>como por exemplo: quem criou esse arquivo?</p><p>� Sistemas de comunicação — Correspondem aos sistemas tradicionais</p><p>de telefonia, sistemas de telecomunicações sem fio, internet</p><p>e redes</p><p>em geral. Podemos coletar informações como mensagens trocadas via</p><p>mensagem de texto, quem enviou, a hora exata e assim por diante.</p><p>Para verificar esse tipo de informação, pode ser necessário examinar</p><p>os arquivos de log de servidores e roteadores intermediários que</p><p>manipularam uma determinada mensagem.</p><p>Evidências digitais2</p><p>� Sistemas embarcados — São dispositivos móveis, cartões inteligentes</p><p>(smartcard) e muitos outros sistemas com computadores embutidos.</p><p>Os dispositivos móveis podem conter comunicações, fotos e vídeos</p><p>digitais e outros dados pessoais, assim como os sistemas de navegação</p><p>que podem ser usados para determinar o trajeto de um veículo.</p><p>Basicamente, toda evidência digital é conduzida por três pilares fundamen-</p><p>tais (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013), descritos a seguir.</p><p>1. Relevância — Aqui recomenda-se demonstrar que o material adquirido é</p><p>importante para ser investigado, ou seja, que contém dados relevantes</p><p>que auxiliam a investigação de um incidente específico e que há um</p><p>bom motivo para ter sido adquirido. Por meio da auditoria e da justi-</p><p>ficação, recomenda-se que o agente da autoridade — digital evidence</p><p>first responder (DEFR) tenha capacidade de expor os procedimentos</p><p>seguidos e explicar como a decisão de obter cada item foi tomada.</p><p>2. Confiabilidade — Aqui recomenda-se que todos os processos utilizados</p><p>no manuseio da evidência digital sejam passíveis de auditoria e repe-</p><p>tições. É esperado que os resultados da aplicação desses processos</p><p>sejam reprodutíveis.</p><p>3. Suficiência — Nesse ponto é recomendado que o DEFR tenha levado em</p><p>conta que material suficiente foi recolhido para permitir uma inves-</p><p>tigação adequada. Espera-se, também, que o DEFR tenha capacidade,</p><p>por meio da auditoria e justificativa, de apontar quanto material foi</p><p>considerado no geral e quais os procedimentos utilizados para tomar</p><p>a decisão sobre quanto e qual material foi obtido.</p><p>Para realizar o tratamento das evidências digitais, precisamos considerar</p><p>quatro pontos essenciais.</p><p>1. Auditabilidade — É esperado que um assistente independente ou</p><p>outra pessoa autorizada faça a avaliação das atividades realizadas</p><p>por um DEFR e DES (especialista em justificabilidade — digital evidence</p><p>justifiability specialist), o que é possível por meio de uma documen-</p><p>tação adequada de todas as ações praticadas. É aconselhado que os</p><p>processos realizados pelos DEFR e DES estejam disponíveis para serem</p><p>avaliados de forma independente, com o objetivo de determinar se o</p><p>método científico, a técnica ou o procedimento foi seguido de forma</p><p>apropriada.</p><p>Evidências digitais 3</p><p>2. Repetibilidade — Esse aspecto é estabelecido quando temos os mesmos</p><p>resultados de testes produzidos sob as seguintes condições:</p><p>■ quando utilizamos os mesmos procedimentos e métodos de medição;</p><p>■ quando utilizamos os mesmos instrumentos e sob as mesmas</p><p>condições;</p><p>■ quando podemos repetir em qualquer momento após o teste original.</p><p>É esperado que um DEFR experiente e habilidoso tenha capacidade de</p><p>realizar todos os processos descritos na documentação e de chegar</p><p>nos mesmos resultados, sem orientação ou interpretação. Para isso,</p><p>é recomendado que o controle de qualidade e da documentação do</p><p>processo esteja em dia.</p><p>3. Reprodutibilidade — Esse aspecto é estabelecido quando temos os</p><p>mesmos resultados de testes produzidos sob as seguintes condições:</p><p>■ quando utilizamos os mesmos métodos de medição;</p><p>■ quando utilizamos instrumentos diferentes e sob condições</p><p>diferentes;</p><p>■ quando podemos repetir em qualquer momento após o teste original.</p><p>4. Justificabilidade — Tanto os DEFRs e quanto os DESs devem ter a capa-</p><p>cidade de justificar todas as ações e métodos usados no tratamento</p><p>da potencial evidência digital.</p><p>Como a evidência digital de computadores, dispositivos móveis e outros</p><p>componentes eletrônicos é especialmente frágil e pode ser facilmente adulte-</p><p>rada ou danificada por ações intencionais ou não, o procedimento adequado</p><p>para lidar com evidências digitais pode tanto funcionar como quebrar uma</p><p>investigação ou um processo judicial. Nesse contexto, os peritos devem seguir</p><p>procedimentos documentados para garantir que as evidências sejam íntegras</p><p>e confiáveis e diretrizes de tratamento de fontes/evidências que estejam de</p><p>acordo com os princípios fundamentais para minimizar a manipulação nos</p><p>dispositivos originais. Além disso, devem documentar todas as ações realizadas</p><p>e as alterações à medida que forem acontecendo, cumprindo a legislação local</p><p>sobre as evidências (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013).</p><p>A norma internacional ISO/IEC 27037:2013 trata principalmente do pro-</p><p>cesso inicial de coleta e armazenamento de possíveis evidências digitais</p><p>e desconsidera o trabalho seguinte com as evidências, como sua análise,</p><p>apresentação e descarte. Todos que manuseiam evidências digitais devem</p><p>ter a capacidade de identificação e gerenciamento dos riscos que podem</p><p>aparecer quando se trabalha com esse tipo de evidência, a fim de evitar sua</p><p>degradação e inutilização.</p><p>Evidências digitais4</p><p>DEFRs devem seguir determinados princípios gerais para manter a integri-</p><p>dade e a confiabilidade dessas evidências digitais, os quais incluem o seguinte:</p><p>� minimizar a manipulação em dispositivos digitais ou dados digitais;</p><p>� documentar todas as ações/alterações realizadas nessas evidências</p><p>digitais, para que um especialista independente seja capaz de opinar</p><p>por conta própria sobre a confiabilidade das evidências apresentadas;</p><p>� proceder de acordo com as leis do país;</p><p>� não deve agir além de sua competência.</p><p>A observação desses princípios fundamentais deve levar à preservação</p><p>de evidências para fins de investigação. No entanto, caso não seja possível</p><p>evitar uma alteração nas evidências, todas as ações realizadas e os seus</p><p>motivos são devidamente documentados.</p><p>Vamos agora entender cada um dos subprocessos do tratamento da evi-</p><p>dência digital, apresentados na Figura 1 (ASSOCIAÇÃO BRASILEIRA DE NORMAS</p><p>TÉCNICAS, 2013).</p><p>Figura 1. Subprocessos de tratamento da evidência digital com base na ISO/IEC 27037.</p><p>Identificação</p><p>Coleta Aquisição</p><p>Preservação</p><p>� Identificação — Aqui temos busca, detecção e documentação de evi-</p><p>dências digitais, que podem ser representadas tanto na forma física</p><p>quanto na lógica. Todos os dispositivos que podem conter evidências</p><p>digitais devem ser identificados ao longo desse subprocesso. Devemos</p><p>realizar uma busca sistemática da cena do crime de forma a evitar que</p><p>pequenos dispositivos camuflados ou materiais que pareçam irrele-</p><p>Evidências digitais 5</p><p>vantes à primeira vista passem despercebidos. Além disso, deve-se</p><p>levar em conta a possibilidade de existir evidências ocultas na forma de</p><p>componentes virtuais, como na computação em nuvem, por exemplo.</p><p>Quando o estado de algum dispositivo pode estar sujeito a alterações</p><p>ao longo do tempo, precisamos priorizá-lo na aquisição de evidên-</p><p>cias. Assim, podemos ter uma ordem de coleta e processamento mais</p><p>apropriada de forma a minimizar possíveis danos a essas evidências.</p><p>� Coleta — Depois de identificar os dispositivos que podem conter evi-</p><p>dências digitais, eles são retirados de seu local original e, em seguida,</p><p>transferidos a um laboratório para análise e processamento na próxima</p><p>etapa. Todo o processo de coleta é registrado em uma documentação,</p><p>incluindo até a embalagem e o transporte ao laboratório. Vale ressaltar</p><p>que é de extrema importância proteger qualquer outro material físico</p><p>que possa estar associado aos dados digitais que foram coletados,</p><p>como anotações de senhas em papel, conectores de energia para os</p><p>dispositivos e qualquer outro hardware necessário para obter infor-</p><p>mações digitais desses dispositivos identificados.</p><p>� Aquisição — O processamento inicial da evidência digital consiste</p><p>principalmente na produção de uma cópia da evidência e na docu-</p><p>mentação dos métodos usados. Caso necessário, espaço alocado e</p><p>não alocado (incluindo arquivos excluídos) devem ser adquiridos.</p><p>Geralmente, o original e quaisquer cópias devem gerar a mesma saída</p><p>(hash) da mesma função de verificação (comprovada como precisa</p><p>nesse ponto). Dependendo de alguns fatores, como situação, tempo e</p><p>custo, devemos selecionar o procedimento e o método mais apropriados</p><p>para realizar essa etapa de aquisição. Se esse processo resultar em</p><p>alterações na cópia criada que não podem ser evitadas , é necessário</p><p>documentar o que foi alterado. Se a cópia não puder ser verificada,</p><p>isso também deve ser documentado e justificado. No caso de os dados</p><p>serem muito grandes para serem manipulados, pode-se obter apenas</p><p>a parte que é relevante para a investigação, como arquivos e pastas.</p><p>Todas as outras etapas da análise forense são realizadas em cópias</p><p>de evidências digitais.</p><p>� Preservação — Aqui é necessário e muito importante proteger a integri-</p><p>dade das evidências digitais que serão úteis na investigação. Os DEFRs</p><p>(geralmente policiais ou especialistas forenses) devem demonstrar que</p><p>as evidências não foram alteradas desde sua coleta, apresentando a</p><p>documentação e a justificativa de tudo que foi feito para realizar as</p><p>alterações.</p><p>Evidências digitais6</p><p>Conheça o guia NIS T SP 800-101 Rev. 1 :2014, que fornece informações</p><p>básicas sobre ferramentas forenses mobile e preservação, aquisi-</p><p>ção, exame e análise, bem como um relato de evidências digitais presentes</p><p>em dispositivos móveis. Esse guia foca principalmente nas características</p><p>dos dispositivos móveis, incluindo featurephones, smartphones e tablets com</p><p>recursos de voz. Para acessar, faça uma busca por “Guidelines on Mobile Device</p><p>Forensics”, de Rick Ayers, Sam Brothers e Wayne Jansen.</p><p>Principais componentes de identificação,</p><p>coleta, aquisição e preservação de</p><p>evidência digital</p><p>Cadeia de custódia</p><p>Em toda e qualquer investigação, o perito deve apresentar tudo que foi ad-</p><p>quirido relacionado a dados e dispositivos que estão sob custódia naquele</p><p>momento. É importante registrar a cadeia de custódia (CC) identificando a</p><p>cronologia de movimento e de manuseio da potencial evidência digital, desde</p><p>a etapa de coleta ou aquisição.</p><p>A CC é o processo pelo qual os peritos preservam a cena do crime (ou inci-</p><p>dente) e as evidências ao longo do ciclo de vida de um caso em investigação.</p><p>O registro de cadeia de custódia é uma documentação (ou um conjunto delas)</p><p>que detalha a CC e todos os registros da pessoa responsável por manusear a</p><p>potencial evidência. Todo esse processo de documentação tem como objetivo</p><p>possibilitar a identificação do acesso e do movimento da potencial evidência</p><p>digital em qualquer momento.</p><p>Esse registro deve conter, no mínimo, as seguintes informações (ASSO-</p><p>CIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013):</p><p>� ID único da evidência;</p><p>� pessoa que acessou a evidência e o tempo/local do acesso;</p><p>� pessoa que checou a evidência interna e externamente nas instalações</p><p>de preservação da evidência e data de checagem;</p><p>� razão pela qual a evidência foi verificada (qual caso e propósito) e a</p><p>autoridade relevante, se for o caso;</p><p>� qualquer outra alteração inevitável da potencial evidência digital, assim</p><p>como o nome do responsável e o motivo de o fazê-lo.</p><p>Evidências digitais 7</p><p>É muito importante que a CC seja mantida ao longo do tempo de vida</p><p>da evidência e preservada por um determinado período depois do</p><p>fim da evidência.</p><p>Precauções no local do incidente</p><p>É necessário que o perito execute algumas atividades para garantir e res-</p><p>guardar o local da evidência digital assim que ela chegar, como:</p><p>� garantir e controlar a área em que os dispositivos estão;</p><p>� definir quem é a pessoa responsável pelo local;</p><p>� assegurar que pessoas estão distantes dos dispositivos e fontes de</p><p>energia;</p><p>� documentar sobre qualquer acesso de pessoas ao local, especialmente</p><p>se tiver motivo para ter envolvimento com a cena do incidente;</p><p>� não desligar o dispositivo caso ele esteja ligado e vice-versa;</p><p>� documentar a cena com o máximo de detalhes possível (foto, vídeo,</p><p>desenho);</p><p>� caso permitido, buscar por itens como anotações em papeis, diários,</p><p>notebooks ou manuais que possam conter informações relevantes</p><p>como senhas.</p><p>Também é necessário analisar riscos associados à segurança das pessoas</p><p>antes de começar o processo. Para isso, é importante considerar questões</p><p>como:</p><p>� Os envolvidos estarão presentes? Se sim, são propensos a agir</p><p>violentamente?</p><p>� A operação será conduzida em qual período do dia?</p><p>� A cena do incidente pode ser isolada?</p><p>� Há armas no local?</p><p>� A cena pode ser considerada insegura?</p><p>Outra preocupação é relacionada ao uso de ferramentas específicas para</p><p>coletar e adquirir evidências digitais. Agir sem planejar e sem pensar nos</p><p>riscos pode levar a perdas ou danos. Dessa forma, é necessário considerar</p><p>alguns aspectos para reduzir a exposição de riscos, como:</p><p>Evidências digitais8</p><p>� Qual método será utilizado para coletar/adquirir evidências digitais?</p><p>� Quais equipamentos poderão ser necessários no local?</p><p>� Quão voláteis os dados/informações são?</p><p>� É possível acessar remotamente qualquer dispositivo e isso apresenta</p><p>ameaça à integridade?</p><p>� O que acontece se um dado/equipamento está danificado?</p><p>Documentação</p><p>Documentar é um processo crucial quando se manuseia dispositivos digitais</p><p>que podem conter potenciais evidências. Por isso, é recomendado que o</p><p>perito siga os seguintes itens durante o processo.</p><p>� Toda atividade deve ser documentada para assegurar que nenhum</p><p>detalhe seja deixado de lado quando as evidências digitais forem</p><p>identificadas, coletadas, adquiridas e preservadas.</p><p>� É recomendado que configurações de data/hora dos dispositivos sejam</p><p>registradas se qualquer diferença estiver presente.</p><p>� Tudo que estiver visível na tela dos dispositivos deve ser documentado.</p><p>� Qualquer movimento dos dispositivos deve ser documentado com</p><p>base nas exigências locais.</p><p>� Deve-se documentar todos os identificadores exclusivos dos dispo-</p><p>sitivos digitais e as partes associadas, assim como números de série</p><p>e marcas específicas.</p><p>Instruções</p><p>É crucial que os peritos sigam instruções da autoridade competente antes de</p><p>executar as atividades e respeitem as leis de confidencialidade e restrições.</p><p>É necessário ter uma seção formal com instruções sobre o entendimento</p><p>do incidente, o que esperar e não esperar durante a investigação, além de</p><p>ressaltar sobre adulteração e espoliação.</p><p>Outro ponto diz respeito às informações relevantes e instruções detalhadas</p><p>sobre a potencial evidência digital a ser coletada/adquirida, como:</p><p>� tipo de incidente (caso se conheça);</p><p>� data/hora do incidente (caso se conheça);</p><p>� plano de investigação;</p><p>Evidências digitais 9</p><p>� local e forma de transporte e armazenamento das evidências depois</p><p>de coletadas/adquiridas;</p><p>� ferramentas necessárias para a aquisição;</p><p>� obtenção de equipamento e manuais dos dispositivos digitais;</p><p>� documentação;</p><p>� fatores legais que se aplicam ou outros que podem ter proibições</p><p>sobre a coleta de qualquer dispositivo e da evidência contida nele.</p><p>Priorizando coleta e aquisição</p><p>Nessas etapas, é obrigatório que o perito entenda a razão por estar coletando</p><p>ou adquirindo a potencial evidência digital. Pode ser necessário fazer a</p><p>priorização de itens com base em sua volatilidade e/ou pelo seu valor proba-</p><p>tório, considerando sua relevância e seu potencial, uma vez que aqueles que</p><p>possuem valor mais alto são aqueles que têm maior probabilidade de conter</p><p>dados associados diretamente ao crime/incidente que está sendo investigado.</p><p>Vale lembrar que essa priorização só deve acontecer caso for requerida</p><p>pelas circunstâncias específicas do caso que está sendo investigado. Dessa</p><p>forma, é recomendado que o perito saiba o suficiente para priorizar com base</p><p>na volatilidade. Após a identificação, é recomendado que ele:</p><p>� faça a priorização da potencial evidência digital que corre risco de ser</p><p>perdida para sempre caso a fonte de energia seja cortada/removida;</p><p>� decida rapidamente sobre a coleta e a aquisição desses dados com</p><p>a combinação</p><p>de bits é utilizada para armazenar valores e informações distintas, sendo que</p><p>cada combinação representa informações diferentes (PARREIRA JÚNIOR, 2011).</p><p>Considerando esses fatores, Eleutério e Machado (2019) afirmam que a</p><p>computação forense tem como principal função a determinação da dinâ-</p><p>mica, materialidade e autoria das práticas ilícitas relacionadas à informática.</p><p>A computação forense utiliza o processamento de evidências digitais como</p><p>material probatório por meio de meios científicos que serão utilizados no</p><p>decorrer do processo investigatório ou processual.</p><p>Teixeira (2020) determina que a computação forense é um dos ramos</p><p>possíveis da perícia. Segundo o autor, ela serve de auxílio para a aquisição</p><p>de provas que poderão comprovar a ocorrência de determinadas situações,</p><p>podendo ter valor probatório em processos investigativos e judiciais, em qual-</p><p>quer esfera da justiça: cível, criminal, empresarial, trabalhista, entre outras.</p><p>Segundo Pinheiro (2016), a computação forense está relacionada à crimi-</p><p>nalística, haja vista que é a ciência que vai extrair informações de qualquer</p><p>evidência encontrada. Tais informações vão permitir a chegada de conclusões</p><p>técnicas acerca de um determinado crime. Assim, na criminalística, evidências</p><p>ou vestígios são rastros deixados pelos agentes praticantes do delito que</p><p>permitem à perícia técnica averiguar a sua materialidade e autoria. A Figura 1</p><p>mostra a relação entre essas áreas.</p><p>Figura 1. Relação entre ciência da computação, criminalística e computação forense.</p><p>Fonte: Silva (2018, p. 3).</p><p>Ciência da computação</p><p>Computação forense</p><p>Criminalística</p><p>Introdução à computação forense 3</p><p>Além disso, de acordo com Pinheiro (2016), a computação forense é uma</p><p>área de conhecimento que utiliza métodos científicos para preservar, coletar,</p><p>validar, identificar, analisar, interpretar, documentar e apresentar as diversas</p><p>evidências adquiridas no meio ambiente digital.</p><p>Atividades e abrangência da computação forense</p><p>Segundo Pinheiro (2016, p. 279), “A ciência forense busca desvendar seis</p><p>elementos: Quem?, O quê?, Quando?, Como?, Onde? e Por quê?”. Por meio da</p><p>busca investigativa, será possível encontrar as respostas para essas questões.</p><p>De acordo com Teixeira (2020), a informática se tornou presente na prá-</p><p>tica pericial forense de duas maneiras: a primeira, usada para auxiliar os</p><p>mecanismos já usados nas atividades forenses, e a segunda, que ocorre em</p><p>casos em que a tecnologia se torna o próprio objeto da investigação em si.</p><p>Assim, para a realização dessas funções investigativas em equipamentos</p><p>tecnológicos, o juiz e a polícia investigativa utilizam profissionais com grandes</p><p>conhecimentos em informática e tecnologia digital, uma vez que aqueles que</p><p>são detentores de saberes jurídicos não têm conhecimentos específicos na</p><p>área computacional.</p><p>Nesse sentido, Teixeira (2020, p. 269) destaca que o perito computacional</p><p>é um “[...] profissional altamente capacitado e atualizado, pois está envolvido</p><p>em tecnologia computacional de última geração”. Assim, esse profissional</p><p>deve ter conhecimento em recuperação e análise de dados retirados da</p><p>internet, análise de vírus, análise de ataques e análise de dados que foram</p><p>apagados ou danificados.</p><p>Conforme a doutrina majoritária, a computação forense está mais presente</p><p>na investigação de infrações penais. Porém, isso não impede que ela atue</p><p>em todas as esferas do direito. O Código de Processo Penal, nos artigos 158</p><p>e 159 (BRASIL, 1941), delimita que é mandatória a ocorrência de perícia nos</p><p>casos de crimes que deixaram vestígios.</p><p>Além disso, Silva Filho (2016) destaca que a perícia no meio ambiente</p><p>digital também está presente em outras legislações brasileiras, como nos</p><p>artigos 240 e 241 do Estatuto da Criança e do Adolescente (BRASIL, 1990), que</p><p>tratam do crime de pedofilia. Isso é citado principalmente no artigo 241-A,</p><p>que dispõe que qualquer tipo de divulgação ou venda de imagens ou vídeos</p><p>pornográficos envolvendo crianças ou adolescentes, inclusive no meio de</p><p>sistema de informática, será passível de condenação à pena de reclusão de</p><p>três a seis anos e multa (BRASIL, 1990).</p><p>Introdução à computação forense4</p><p>No caso de pedofilia, o papel do perito em computação forense é extre-</p><p>mamente importante e abrange diversas situações, uma vez que o simples</p><p>fato de uma pessoa portar uma foto de pornografia infantil em seu celular já</p><p>configura a ocorrência do delito criminoso. Assim, segundo Silva Filho (2016),</p><p>nessas situações, o papel do perito será o de encontrar essas imagens, mesmo</p><p>que elas tenham sido escondidas, apagadas ou criptografadas.</p><p>Além disso, a Lei nº 12.737/12 (BRASIL, 2012), comumente conhecida como</p><p>Lei Carolina Dieckmann, trouxe modificações ao Código Penal (BRASIL, 1940),</p><p>acrescentando o artigo 154-A, que dispõe sobre a invasão de dispositivo</p><p>informático como um delito penal, cuja pena será de reclusão de um ano a</p><p>quatro anos e multa, conforme as alterações trazidas pela Lei nº 14.155/21</p><p>(BRASIL, 2021).</p><p>Para saber mais, leia na íntegra a Lei nº 14.155/21 no site do Governo</p><p>Federal (BRASIL, 2021).</p><p>De acordo com Freitas (2003, p. 3), “[...] perícia forense em sistemas com-</p><p>putacionais é o processo de coleta, recuperação, análise e correlacionamento</p><p>de dados que visa, dentro do possível, reconstruir o curso das ações e recriar</p><p>cenários completos fidedignos”. A princípio, é papel do perito identificar o</p><p>tipo de crime praticado pelo agente. Nessa fase de identificação, Tolentino,</p><p>Silva e Mello (2011) determinam que há a análise ao vivo, que é a perícia do</p><p>equipamento quando ele ainda está em funcionamento, ou seja, o perito deve</p><p>atentar-se para os processos que estavam em execução e para as portas que</p><p>estavam abertas quando o delito ocorria.</p><p>Ainda nesse sentido, Silva Filho (2016, p. 4) destaca que “[...] a prova di-</p><p>gital pode ser bastante volátil”. Portanto, o local em que o equipamento foi</p><p>encontrado deve ser devidamente isolado, para que não haja risco de que</p><p>os dados relevantes sejam corrompidos ou até apagados. Além disso, ao se</p><p>deparar com máquinas desligadas, é importante que o perito não a ligue</p><p>imediatamente. Esses mecanismos servem, basicamente, para preservar os</p><p>dados que se busca na perícia a ser realizada no aparelho eletrônico.</p><p>Introdução à computação forense 5</p><p>Tolentino, Silva e Mello (2011) determinam que a análise é a principal</p><p>atividade a ser realizada na perícia computacional. Ela deve seguir uma</p><p>lista de perguntas chaves que facilitarão o trabalho do perito. Veja a seguir</p><p>(TOLENTINO; SILVA; MELLO, 2011, p. 34).</p><p>• Qual a versão do Sistema Operacional utilizado?</p><p>• Quem logou ou tentou logar no computador recentemente?</p><p>• Quais arquivos foram usados pelo suspeito?</p><p>• Qual porta estava aberta?</p><p>• Quais arquivos foram excluídos?</p><p>Silva Filho (2016) também afirma que, para garantir a integridade dos</p><p>equipamentos e dos dados coletados, a cadeia de custódia é uma das prin-</p><p>cipais atividades do perito computacional. Segundo Carvalho (2016), a cadeia</p><p>de custódia é um conjunto de ações técnicas e científicas que auxilia os</p><p>operadores do direito a avaliar se as provas juntadas no processo realmente</p><p>foram tratadas com o rigor técnico-científico necessário, desde a sua coleta</p><p>no local do crime até as suas análises feitas em laboratório. Além disso,</p><p>o autor demonstra que as informações fidedignas da cadeia de custódia visam</p><p>a determinar de maneira imparcial e correta a verdadeira materialidade e</p><p>autoria de determinada infração penal.</p><p>A Lei nº 13.964/2019 (BRASIL, 2019) incluiu os artigos 158-A a 158-F</p><p>ao Código de Processo Penal (BRASIL, 1941). Eles tratam sobre a</p><p>cadeia de custódia da prova, a qual abrange todo o caminho que deve ser</p><p>percorrido pela prova, desde a sua coleta, passando pela preservação, até a</p><p>sua análise e correta inserção no processo investigativo ou judicial. Qualquer</p><p>tipo de interferência no decorrer no trâmite investigativo ou judicial pode</p><p>causar prejuízos aos valores probatórios. Por isso, é de</p><p>métodos validados.</p><p>Preservação da potencial evidência digital</p><p>É de extrema importância assegurar que durante a preservação da potencial</p><p>evidência digital, não haja:</p><p>� espoliação, que pode resultar de degradação magnética, degradação</p><p>elétrica, aumento grande de temperatura, exposição a alta ou baixa</p><p>umidade e de choques e vibrações;</p><p>� adulteração, que pode resultar de um ato intencional de adulterar ou</p><p>permitir mudança da potencial evidência digital.</p><p>Evidências digitais10</p><p>Dessa forma, os dispositivos digitais devem ser protegidos desses fatores,</p><p>uma vez que a atividade mais importante no processo de preservação é</p><p>manter a evidência e a sua cadeia de custódia íntegras e autênticas. Nesse</p><p>contexto, é preferível que elas sejam armazenadas em um local seguro com</p><p>controle de acessos e vigilância.</p><p>Além disso, é recomendado que o dispositivo coletado seja devidamente</p><p>embalado para a sua natureza, a fim de evitar contaminação antes de trans-</p><p>portá-lo para outro local.</p><p>Coleta de evidência não digital e em</p><p>dispositivos de missão crucial</p><p>Evidência não digital</p><p>Ao investigar um incidente, é esperado que o perito também considere co-</p><p>letar evidências não digitais. Para isso, o líder da equipe investigativa deve</p><p>identificar as pessoas responsáveis pelas instalações no local. Uma pessoa</p><p>pode apresentar informações e documentação extras, contendo senhas para</p><p>dispositivos digitais ou outros dados relevantes para a investigação.</p><p>Além disso, é necessário coletar algumas evidências por meio de entre-</p><p>vistas com aqueles que podem saber/ter informações úteis ou importantes</p><p>sobre a potencial evidência ou dispositivo digital que será coletado. A equipe</p><p>pode incluir o administrador do sistema, o dono do dispositivo e usuários</p><p>daquele computador e dos dispositivos periféricos. Assim, é necessário do-</p><p>cumentar, de forma precisa, tudo que for respondido na entrevista, que pode</p><p>ter perguntas sobre a configuração do sistema e a senha do administrador.</p><p>Ainda nesse contexto, o perito precisa ter familiaridade com as exigências</p><p>jurídicas essenciais para coletar as evidências não digitais e garantir que os de-</p><p>poimentos dos entrevistados não sofram alterações ao serem documentados.</p><p>Dispositivos digitais de missão crucial</p><p>Em algumas ocasiões, não é possível desligar dispositivos digitais devido à</p><p>natureza crucial dos sistemas, como servidores de rede, centros de dados,</p><p>sistemas médicos e de vigilâncias, entre outros. Assim, é necessário um</p><p>cuidado especial.</p><p>Evidências digitais 11</p><p>Dessa forma, quando não se pode fazer o desligamento do dispositivo,</p><p>deve-se fazer a aquisição imediata e/ou parcial.</p><p>� Aquisição parcial — pode ser realizada devido a vários motivos, como:</p><p>■ o sistema de armazenamento é muito grande para ser adquirido,</p><p>como um servidor de banco de dados;</p><p>■ um sistema é muito essencial para ser desligado;</p><p>■ quando somente dados selecionados a serem adquiridos contêm</p><p>dados irrelevantes dentro do mesmo sistema;</p><p>■ quando compelido por autoridade legal, como um mandado de</p><p>busca, que limita o escopo da aquisição.</p><p>■ quando se tem uma decisão de aquisição parcial, o que inclui:</p><p>– identificar pastas, arquivos ou qualquer outro sistema proprietário</p><p>relevante disponível para adquirir o dado desejado;</p><p>– conduzir aquisição lógica nos dados identificados.</p><p>� Aquisição imediata — é recomendado que o perito execute as seguintes</p><p>atividades:</p><p>■ primeiro, considerar a aquisição de potencial evidência digital que</p><p>pode, de outro modo, ser perdida caso o dispositivo seja desligado.</p><p>Isso engloba dados voláteis como dados na memória RAM, conexões</p><p>de rede, processos sendo executados e configurações de data/hora;</p><p>■ é preciso fazer aquisição imediata para adquirir dados ativos de</p><p>dispositivos que ainda estão sendo executados, assim podemos</p><p>recuperar informações valiosas como aquisição imediata de dados</p><p>na RAM, descriptografar aplicações e senhas;</p><p>■ o perito nunca deve confiar nos programas dos sistemas, e sim</p><p>adotar ferramentas confiáveis e validadas. É necessário que todas</p><p>as ações executadas e os resultados das alterações realizadas sobre</p><p>a potencial evidência digital sejam registradas e compreendidas;</p><p>■ depois da aquisição do dado volátil, deve-se adotar o uso de recep-</p><p>táculo de arquivo lógico, quando possível, e documentar o valor de</p><p>hash, já que contém arquivo com dado volátil. É importante que os</p><p>receptáculos de arquivos resultantes sejam armazenados em uma</p><p>mídia de armazenamento digital preparada para isso;</p><p>■ deve-se utilizar ferramentas de imagem validadas ao executar o</p><p>processo de imagem (imaging) no armazenamento vivo não volátil.</p><p>Deve-se colocar a cópia da evidência em uma mídia formatada para</p><p>isso.</p><p>Evidências digitais12</p><p>Como foi possível observar ao longo do capítulo, o termo evidência digital</p><p>abrange todo e qualquer dado digital que possa estabelecer que um crime/</p><p>incidente foi cometido, que forneça um link entre um crime e sua vítima ou</p><p>até mesmo entre um crime e o criminoso. Além disso, vimos o quanto ela é</p><p>volátil e há altas chances de ser adulterada, danificada e/ou perdida. Nesse</p><p>contexto, órgãos competentes criaram uma norma (ASSOCIAÇÃO BRASILEIRA</p><p>DE NORMAS TÉCNICAS, 2013) com melhores práticas, descrevendo os proce-</p><p>dimentos para o tratamento de possíveis evidências digitais, no que diz a</p><p>respeito às fases de identificação, coleta, aquisição e preservação dessas</p><p>evidências. Dessa forma, é preciso entender suas diretrizes a fim de proteger</p><p>e mitigar riscos associados ao manuseio de evidências digitais, para que a</p><p>investigação ocorra com sucesso.</p><p>Referências</p><p>ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISSO/IEC 27037:2013: tec-</p><p>nologia da informação, técnicas de segurança, diretrizes para identificação, coleta,</p><p>aquisição e preservação de evidência digital. Rio de Janeiro: ABNT, 2013. (E-book).</p><p>CASEY, E. Digital evidence and computer crime: forensic science, computers, and the</p><p>internet. 3rd ed. Cambridge: Academic press, 2011.</p><p>HENSELER, J. Computer crime and computer forensics. In: SIEGEL, J. SAUKKO, P.</p><p>The encyclopedia of forensic science. Cambridge: Academic Press, 2000.</p><p>Leituras recomendadas</p><p>AYERS, R.; BROTHERS, S.; JANSEN, W. Guidelines on mobile device forensics. Gaither-</p><p>sburg: NIST, 2014.</p><p>ELEUTÉRIO, P. M. da S.; MACHADO, M. P. Desvendando a computação forense. São Paulo:</p><p>Novatec, 2019.</p><p>LOADER, B. D.; THOMAS, D. (ed.). Cybercrime: security and surveillance in the information</p><p>age. Abingdon-on-Thames: Routledge, 2013.</p><p>MCKEMMISH, R. What is forensic computing? Canberra: Australian Institute of Crimi-</p><p>nology, 1999.</p><p>PHILLIPS, A. et al. E-discovery: an introduction to digital evidence. Stamford: Cengage</p><p>Learning, 2013.</p><p>REICH, P. C. (ed.). Cybercrime & security. Eagan: West Publications, 2011.</p><p>Evidências digitais 13</p><p>Dica do professor</p><p>A perícia digital é um processo de identificação, aquisição, preservação e documentação de</p><p>evidências digitais que podem ser usadas em investigações. Existem muitas ferramentas que</p><p>facilitam o manuseio das evidências digitais.</p><p>Nesta Dica do Professor, conheça algumas ferramentas que apoiam as etapas de tratamento das</p><p>evidências digitais.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/800814bd193817481a155c44133f707a</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Internet das Coisas: novos desafios na análise forense</p><p>Os objetivos deste artigo são identificar aspectos da forense tradicional que possam ser absorvidos</p><p>na forense em IoT e apresentar alguns dos novos desafios.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Webinar Introdução à coleta forense de evidências digitais</p><p>Neste vídeo, o palestrante trata de conceitos importantes relacionados à coleta forense de</p><p>evidências digitais.</p><p>Aponte a câmera para o código</p><p>e acesse o link do conteúdo ou clique no código para acessar.</p><p>A cadeia de custódia da prova digital à luz da Lei 13.964/2019</p><p>Nesse artigo, o autor Lorenzo Parodi fala sobre a cadeia de custódia e seus aspectos legais.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Perícia digital: estratégias para analisar e manter evidências</p><p>http://seer.cgee.org.br/index.php/parcerias_estrategicas/article/viewFile/915/832?v=1549967700</p><p>https://www.youtube.com/embed/EHUOKyc3DsQ</p><p>https://www.conjur.com.br/2020-jun-18/lorenzo-parodi-cadeia-custodia-prova-digital?v=755495603</p><p>íntegras em forense computacional</p><p>Neste artigo, a autora Tamara Silva propõe a criação de diretrizes e estratégias específicas para</p><p>guiar o trabalho do perito forense computacional, garantindo a segurança de evidências digitais</p><p>durante todas as etapas do processo de investigação.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://www.riuni.unisul.br/bitstream/handle/12345/2956/Artigo_Pos_v5.pdf?sequence=1&isAllowed=y?v=1201881472</p><p>Análise em mídias de</p><p>armazenamento</p><p>Apresentação</p><p>Diariamente, o uso de meios digitais é ampliado. Milhões de informações são acessadas e</p><p>armazenadas em vários dispositivos de mídias, de todos os tamanhos e formatos. Essas</p><p>informações, muitas vezes, são de caráter sigiloso e, às vezes, usadas por pessoas de má índole, que</p><p>utilizam para crimes, por exemplo.</p><p>O crescimento de delitos e casos envolvendo dispositivos eletrônicos, entre eles as mídias de</p><p>armazenamento como meio ou instrumento da ação, estão crescendo a cada dia. Pessoas</p><p>especializadas, como peritos criminais, utilizam esses recursos para identificá-las e analisá-las.</p><p>Várias são as técnicas usadas para a análise dessas mídias, tendo em vista a preservação das</p><p>evidências, para que estas não sejam questionadas, garantindo, assim, que nenhuma informação ou</p><p>dado tenha sido alterado do seu estado original.</p><p>Nesta Unidade de Aprendizagem, você estudará as metodologias e ferramentas utilizadas para</p><p>efetuar uma análise em mídias de armazenamento. Além disso, conhecerá as formas de identificar</p><p>essas mídias e os pontos críticos encontrados durante as análises.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Descrever a metodologia para realizar os exames em mídias de armazenamento.•</p><p>Explicar as ferramentas utilizadas para realizar os procedimentos de exames.•</p><p>Reconhecer os pontos críticos dos procedimentos.•</p><p>Infográfico</p><p>A computação forense é uma ciência que obtém, preserva e documenta evidências de dispositivos</p><p>de armazenamento digital, como computadores, câmeras digitais, telefones celulares e vários</p><p>dispositivos de armazenamento de memória.</p><p>Há várias metodologias a serem utilizadas para extrair os dados dessas mídias, e toda investigação</p><p>deve considerar como prática padrão a utilização de metodologias e protocolos. Nesse sentido,</p><p>existem alguns aspectos que constituem as etapas do processo de análise.</p><p>Neste Infográfico, você vai ver as etapas do processo de análise de uma perícia.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para</p><p>acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/d78d7d58-52cf-4b07-994f-f348980bf849/7efecd94-883e-44df-8335-d0fa36709ecb.jpg</p><p>Conteúdo do livro</p><p>O fluxo de dados digitais está crescendo cada vez mais: são fotos, vídeos, mensagens e arquivos de</p><p>diversos tipos. Para armazená-los, existem as mídias de armazenamento, que vêm se modificando</p><p>em tecnologias e tamanhos para suprir essas demandas. Com todos esses aumentos, os crimes</p><p>digitais também vêm ganhando espaço.</p><p>No capítulo Análise em mídias de armazenamento, base teórica desta Unidade de Aprendizagem,</p><p>você vai ver uma pequena introdução sobre o que são mídias de armazemanento e os</p><p>procedimentos para uma análise eficaz. Além disso, vai conhecer alguns pontos críticos que podem</p><p>surgir durante esse processo.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Descrever a metodologia para realizar os exames em mídias de armaze-</p><p>namento.</p><p>> Explicar as ferramentas utilizadas para realizar os procedimentos de exames.</p><p>> Reconhecer os pontos críticos dos procedimentos.</p><p>Introdução</p><p>Grande parte dos nossos dados é coletada e tratada de forma digital em mídias</p><p>de armazenamento, desde lembretes de lista de compras até artigos acadêmicos.</p><p>Os dados são quantificados e caracterizados por conteúdos que por si só não</p><p>agregam valor ou trazem algum conhecimento e que, após tratados, são trans-</p><p>formados em informação. A facilidade para a troca desses dados aliada à grande</p><p>massa de equipamentos geradores de dados, como smartphones e câmeras</p><p>digitais, tornam os dados digitais mais acessíveis. No entanto, corre-se o risco</p><p>de perder esses dados e, para reverter isso, utilizam-se técnicas de recuperação</p><p>de dados em mídias de armazenamento.</p><p>Neste capítulo, você vai estudar as metodologias e ferramentas utilizadas</p><p>para efetuar uma análise em mídias de armazenamento, conhecendo as formas</p><p>de identificar essas mídias e os pontos críticos encontrados durante as análises.</p><p>Análise em mídias</p><p>de armazenamento</p><p>Thaís Bison</p><p>Exames forenses em mídias de</p><p>armazenamento</p><p>Mídias de armazenamento são dispositivos capazes de armazenar informa-</p><p>ções (dados) para consulta ou uso posterior. Esse registro de dados pode ser</p><p>feito usando virtualmente qualquer forma de energia, desde a força manual</p><p>humana, como a escrita, passando por vibrações acústicas em gravações</p><p>fonográficas, até a modulação de energia eletromagnética em fitas magné-</p><p>ticas e discos ópticos.</p><p>Dispositivos que processam informações (equipamentos de armazena-</p><p>mento de dados) podem acessar mídia de gravação portátil ou podem ter um</p><p>componente permanente que armazena e recupera dados. Esse armazena-</p><p>mento eletrônico de dados requer energia elétrica tanto para armazená-los</p><p>quanto para recuperá-los. A maioria das mídias de armazenamento é consi-</p><p>derada de armazenamento permanente (não volátil), o que significa que os</p><p>dados permanecem armazenados quando a energia elétrica é removida do</p><p>dispositivo. Em relação à durabilidade de métodos, a impressão em papel é</p><p>ainda superior a muitas mídias eletrônicas. No entanto, as limitações relacio-</p><p>nadas à durabilidade podem ser superadas usando o método de duplicação</p><p>eletrônica de dados, comumente chamado de backup.</p><p>Segundo a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de</p><p>14 de agosto de 2018), dado pessoal é a “[…] informação relacionada à</p><p>pessoa natural identificada ou identificável” (BRASIL, 2018, documento on-line).</p><p>Já dado sensível é o:</p><p>[…] dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política,</p><p>filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado</p><p>referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado</p><p>a uma pessoa natural (BRASIL, 2018, documento on-line).</p><p>Tipos de dispositivos de armazenamento</p><p>Confira a seguir os tipos de dispositivos de armazenamento.</p><p>� Magnético: são os mais antigos e amplamente usados hoje, permitindo</p><p>armazenar grandes quantidades de dados em um pequeno espaço</p><p>físico, a exemplo dos discos rígidos (HDs).</p><p>Análise em mídias de armazenamento2</p><p>� Meios ópticos: são os mais utilizados para armazenamento de informa-</p><p>ção multimídia, como filmes e músicas, mas também para informações</p><p>e programas. Como exemplos, temos CD-ROMs, CD-RWs, DVD-ROMs e</p><p>DVD-RWs. A leitura das informações numa mídia óptica é feita por meio</p><p>de um feixe de laser de alta precisão projetado na superfície da mídia.</p><p>� Eletrônico: são os mais recentes e que oferecem mais perspectivas</p><p>para a evolução do desempenho na tarefa de armazenamento de</p><p>informação. Essa tecnologia também é conhecida como memórias de</p><p>estado sólido ou SSDs (Solid State Drives), pois não têm partes móveis,</p><p>apenas circuitos eletrônicos que não precisam se</p><p>mover para ler ou</p><p>gravar informações. Como exemplos, temos pen drives e cartões de</p><p>memória para câmeras digitais, além de discos rígidos, que têm certa</p><p>quantidade desse tipo de memória funcionando como buffer (região</p><p>de memória temporária utilizada para gravação e leitura de dados).</p><p>O registro das informações ocorre com materiais utilizados na fabri-</p><p>cação dos chips.</p><p>Em relação ao tempo de acesso, os dispositivos de armazenamento ele-</p><p>trônico ganham vantagem, porque o seu tempo de acesso é muito menor do</p><p>que o tempo dos dispositivos magnéticos, pois não contêm peças móveis.</p><p>No entanto, o principal ponto negativo do eletrônico é o custo muito alto,</p><p>pois ainda são encontrados com pequenas capacidades de armazenamento</p><p>e custo muito alto em comparação aos magnéticos.</p><p>Estratégia de análise</p><p>Ao iniciarmos uma análise em mídia de armazenamento, devemos planejar</p><p>a estratégia de análise, definindo o algoritmo da perícia. Nunca implemente</p><p>antes de planejar, pois sem um planejamento é muito fácil se perder ou</p><p>levar mais tempo do que o necessário. As ferramentas forenses são meros</p><p>recursos para executar a análise planejada, que pode ser uma tarefa feita</p><p>em conjunto com outros examinadores, sempre definindo uma estratégia</p><p>única para o mesmo caso. Além disso, como os HDs armazenam centenas de</p><p>milhares de informações, é importante ter consciência que ler e interpretar</p><p>tudo é impossível. Por isso, deve-se delimitar bem o escopo de análise e</p><p>reduzir o universo de dados, começando pelo mais simples e mais rápido.</p><p>Análise em mídias de armazenamento 3</p><p>A análise é como o desenrolar de um novelo: inicialmente, deve-se achar</p><p>um fio solto e, depois, ir puxando até o completo desenrolar do novelo.</p><p>É necessário buscar primeiro as evidências nos locais mais óbvios e, a partir</p><p>da interpretação dessas evidências, seguir para onde elas direcionarem.</p><p>Muitos usuários guardam seus arquivos na pasta Meus Documentos ou no</p><p>Desktop e não empreendem grandes esforços no sentido de apagar seus</p><p>rastros. Por isso, pode-se começar a análise por essas pastas e pela lista de</p><p>arquivos recentes. É uma boa forma de conhecer o usuário e suas preferências</p><p>de arquivos e pastas.</p><p>Macroprocesso em análise de mídias</p><p>Após o recebimento do material para análise, deve-se checar e registrar o</p><p>material questionado, criando um documento formal de encaminhamento</p><p>do material para a perícia. A integridade dos lacres deve ser conferida, e o</p><p>material deve ser identificado com código de rastreamento único. Além disso,</p><p>é preciso registrar eventuais inconsistências por escrito.</p><p>Na fase de coleta de dados, o foco é a identificação de possíveis fontes</p><p>de dados, como computadores, notebooks, pendrives, CDs, DVDs, dispositivos</p><p>de armazenamento em rede, máquinas fotográficas, etc. (SAMPAIO, 2007),</p><p>embora locais fora dos domínios físicos da cena investigada também sejam</p><p>averiguados (NEUKAMP, 2014). Durante todo o processo, independentemente</p><p>do tipo de armazenamento digital de dados, há a preocupação em garantir a</p><p>integridade do conteúdo desses materiais, desde a aquisição dos dados até</p><p>a conclusão do caso. Para isso, é comum a utilização da função hash, que</p><p>gera uma sequência de caracteres hexadecimal de tamanho fixo a partir de</p><p>uma entrada de conteúdo de tamanho variável. As funções hash são consi-</p><p>deradas unidirecionais, pois não é possível obter o valor original a partir do</p><p>valor resultado da conversão. Segundo Eleutério e Machado (2011, p. 128-129):</p><p>[…] como o tamanho da sequência de bits gerada é limitado, muitas vezes, não</p><p>passando de 512 bits, existem colisões (valores hash iguais para informações ori-</p><p>ginais diferentes), uma vez que a variedade de informação de entrada é ilimitada.</p><p>Assim, quanto maior a dificuldade de se encontrar colisões, melhor é o algoritmo.</p><p>Os algoritmos de hash mais usados atualmente são: o MD5 (128 bits), o SHA-1 (160</p><p>bits), o SHA-256 (256 bits) e o SHA-512 (512 bits).</p><p>Análise em mídias de armazenamento4</p><p>Outra etapa é a cadeia de custódia, que deve ser seguida durante todo o</p><p>processo e, dependendo da etapa em questão, atitudes diferentes deverão</p><p>ser tomadas. Inicialmente, durante a coleta dos dados, devem ser tomados</p><p>cuidados físicos, principalmente com materiais apreendidos. Durante a etapa</p><p>de análise, o cuidado maior deve ser em não alterar logicamente nenhum</p><p>dado armazenado nos dispositivos coletados.</p><p>A cadeia de custódia é uma das principais obrigações dos peritos e deve</p><p>ser sempre garantida por eles. Ela documenta todo o processo aplicado à ma-</p><p>nipulação das evidências, visando a garantir sua autenticidade. A idoneidade</p><p>e proteção da prova devem ser sempre asseguradas, a fim de evitar futuros</p><p>questionamentos quanto à integridade dos equipamentos, correndo o risco</p><p>de anular totalmente o laudo dos peritos. Por isso, é necessário sempre fazer</p><p>declaração, inspeção visual e descrição do material questionado (registro</p><p>fotográfico), determinando características individuais.</p><p>A retirada das mídias de armazenamento computacional do material</p><p>questionado deve ser considerada diante do procedimento a ser utilizado</p><p>para geração da imagem forense, tendo sempre registradas sua identificação</p><p>e sua descrição. Confira os passos a seguir.</p><p>� Gere uma imagem forense das mídias de armazenamento computacional</p><p>do material questionado.</p><p>� Para a recolocação das mídias de armazenamento computacional no</p><p>material questionado, refaça a lacração desse material e guarde em</p><p>depósito apropriado.</p><p>� Verifique e prepare o sistema de análise, configurando a ferramenta fo-</p><p>rense de análise de mídia e determinando as configurações necessárias</p><p>de processamento (caso em análise, tipo de exame, tempo disponível).</p><p>Feitos esses passos, pode-se dar início ao processamento das mídias</p><p>de armazenamento computacional do material questionado e à análise do</p><p>conteúdo das mídias de armazenamento computacional processadas. Depois,</p><p>é gerado o relatório digital e confeccionado o laudo pericial, normalmente</p><p>a partir de modelos predefinidos. A entrega do laudo pericial deve ser feita</p><p>com o material questionado de maneira formal, mediante recibos (cadeia</p><p>de custódia) e finalizando com a apresentação do laudo pericial, seja ao</p><p>requisitante dos exames, seja em audiência judicial. O laudo pericial deve</p><p>ser de fácil interpretação e ter as seguintes seções: finalidade da investi-</p><p>gação, autor do laudo, resumo do incidente, relação de evidências analisa-</p><p>das e seus detalhes, conclusão, anexos e glossário. Deve constar, também,</p><p>Análise em mídias de armazenamento 5</p><p>a metodologia, as técnicas, os softwares e equipamentos empregados. Com</p><p>essas informações redigidas, torna-se mais clara a reprodução das fases da</p><p>investigação (SAMPAIO, 2007).</p><p>Não se deve fazer a cópia lógica dos dados, ou seja, o conteúdo</p><p>visível pelo usuário e o sistema operacional. Uma cópia desse tipo</p><p>não permitiria ao perito analisar áreas do disco onde houvesse vestígios de</p><p>arquivos inacessíveis pelo sistema operacional, como os arquivos excluídos ou</p><p>o log da partição de disco.</p><p>Ferramentas e métodos utilizados</p><p>na análise</p><p>A plataforma principal de análise a ser usada deve ter tipicamente as funcio-</p><p>nalidades de interpretação dos sistemas de arquivos da mídia, recuperação</p><p>de arquivos apagados, categorização de arquivos (análise por assinatura),</p><p>filtragem por metadados, cálculo de hash e identificação por HashSets, busca</p><p>de palavras-chave (opção de indexação e RegEx), criação de bookmarks</p><p>(marcadores ou tags) e geração de relatórios. Confira alguns exemplos das</p><p>ferramentas usadas.</p><p>Para análise de mídias:</p><p>� IPED;</p><p>� Autopsy;</p><p>� Opentext EnCase Forensic;</p><p>� AccessData FTK;</p><p>� Magnet AXIOM;</p><p>� Belkasoft Evidence Center.</p><p>Para virtualização:</p><p>� Oracle VM VirtualBox;</p><p>� Windows Forensic Environment LiveCD;</p><p>� Windows Change Password/Registry Editor/Boot CD.</p><p>Análise em mídias de armazenamento6</p><p>Para aquisição e montagem de imagem forense:</p><p>� FTK Imager.</p><p>Para análise do Windows Registry:</p><p>� AccessData Registry Viewer;</p><p>� Registry Explorer.</p><p>Para análise de Thumbcache:</p><p>� Thumbcache Viewer.</p><p>Para análise de histórico de navegação:</p><p>� Browsing History View;</p><p>� Mozilla History View;</p><p>� Mozilla Cache View;</p><p>� My Last Search;</p><p>� Password Fox.</p><p>Espelhamento de mídia</p><p>O espelhamento de mídia é a cópia exata do conteúdo de um dispositivo</p><p>computacional de armazenamento de dados em outro dispositivo similar.</p><p>É, portanto, o espelho do estado real do dispositivo de armazenamento</p><p>computacional, também conhecido como clonagem. A cópia é feita bit a bit</p><p>para um dispositivo de armazenamento de destino.</p><p>Para efetuar um espelhamento, devem ser seguidos os seguintes</p><p>procedimentos:</p><p>� criar um hash do dispositivo a ser espelhado;</p><p>� fazer uma cópia exata da mídia (incluindo erros e arquivos apagados);</p><p>� criar o hash do clone/mídia espelho;</p><p>� provar que é uma cópia exata comparando os hashes calculados</p><p>(MD5, SHA1, SHA256).</p><p>Análise em mídias de armazenamento 7</p><p>Sempre que necessário, os dados devem ser adquiridos utilizando a ca-</p><p>mada mais baixa possível. Existem os dois métodos de trabalho a seguir</p><p>para o espelhamento.</p><p>1. Aquisição estática: o espelhamento de disco é realizado com o sistema</p><p>desligado. Costuma ser o método padrão de trabalho. Não altera dados</p><p>e é repetível.</p><p>2. Aquisição livre: a cópia de dados é realizada com o sistema ligado.</p><p>Atualmente, é desejado o método de criptografia de disco. Não é re-</p><p>petível (altera dados). É feito o espelhamento da memória.</p><p>Por sua vez, os métodos para aquisição de dados pelo espelhamento são</p><p>os seguintes:</p><p>1. fluxo de dados (bit stream) disco a disco;</p><p>2. fluxo de dados disco a arquivo de imagem;</p><p>3. lógico (logical);</p><p>4. áreas não alocadas (sparse).</p><p>Bloqueadores de escrita</p><p>Os bloqueadores de escrita são tecnologias que monitoram os comandos</p><p>enviados ao disco rígido, impedindo que dados sejam escritos na mídia. Não</p><p>permitem que a mídia seja montada com permissões de escrita, somente com</p><p>comandos read-only. Confira a seguir exemplos de bloqueadores de escrita</p><p>via hardware e, na Figura 1, um modelo.</p><p>� Tableau T3458is Forensic SATA/SCSI/IDE/USB Combo Bridge.</p><p>� Tableau T35es-R2 Forensic eSATA/IDE Bridge.</p><p>� UltraBlock Firewire.</p><p>Análise em mídias de armazenamento8</p><p>Figura 1. Modelo de bloqueador de escrita.</p><p>Fonte: Aranha (2015, documento on-line).</p><p>Imagem de disco</p><p>A imagem de disco consiste em duplicar as informações de um dispositivo</p><p>de armazenamento (de forma semelhante ao espelhamento), mas o destino</p><p>de gravação dessas informações é um arquivo e não o disco inteiro. Confira</p><p>a seguir as vantagens que essa técnica, de modo geral, apresenta em relação</p><p>à técnica de espelhamento.</p><p>� Possibilidade de copiar todo o dispositivo de armazenamento interno</p><p>ou apenas uma partição.</p><p>� O dispositivo de destino pode ser utilizado para armazenar as infor-</p><p>mações de mais de um dispositivo de origem, otimizando o uso.</p><p>� Possibilidade de compactar o conteúdo do arquivo de imagem, com</p><p>a ressalva de atentar aos métodos de compactação utilizados, para</p><p>que não alterem as informações dos dados originais.</p><p>Data Carving</p><p>Para recuperar arquivos apagados, o método mais utilizado é a busca baseada</p><p>em assinaturas de arquivos. É uma técnica utilizada para recuperação de</p><p>arquivos excluídos por meio da assinatura do tipo de arquivo. Quando um</p><p>arquivo é excluído, apenas o seu índice é removido; os seus dados persistem</p><p>gravados no disco até que estes sejam sobrescritos. É utilizada quando não</p><p>é possível identificar ou extrair um dado da mídia por vias normais. Muitas</p><p>vezes, isso ocorre porque o sistema de arquivos não tem mais a identificação</p><p>dos setores que pertencem ao arquivo ou dado.</p><p>Análise em mídias de armazenamento 9</p><p>Cada tipo de arquivo tem uma assinatura hexadecimal que o define.</p><p>Assim, os diversos softwares podem lê-los e interpretá-los. Para isso, o início</p><p>do arquivo, local onde reside a assinatura dele, ainda deve estar presente.</p><p>Além disso, a assinatura não pode ser tão comum a ponto de aparecer em</p><p>muitos outros arquivos, o que criaria falsos positivos. Por fim, o arquivo</p><p>identificado deve estar gravado de forma contínua e não fragmentada no</p><p>disco (DICKERMAN, 2006).</p><p>Sleuthkit</p><p>O Sleuthkit é um framework de ferramentas voltadas à análise forense com-</p><p>putacional. Nele, somente entram ferramentas Open Source. O Sleuthkit inclui</p><p>as seguintes ferramentas: BLKCAT, BLKLS, BLKSTAT, BLKCALC, DISK_STAT, FFIND,</p><p>FLS, DISK_SRESET, FSSTAT, HFIND, ICAT, IFIND, ILS, IMG_CAT, IMG_STAT, ISTAT,</p><p>JCAT, JLS, MMLS, MMSTAT, MACTIME, MMCAT, SIGFIND e Sorter.</p><p>Autopsy</p><p>A Autopsy é considerada a principal ferramenta com interface gráfica que</p><p>utiliza o TSK (disponível para o mundo), tornando os comandos do TSK bas-</p><p>tante simples de usar, de forma transparente, amigável e intuitiva. Permite</p><p>análise com visualizadores integrados. Permite categorizar por tipo, data e</p><p>tamanho, mostra os principais eventos ocorridos no dispositivo em linha do</p><p>tempo, contém filtro de hash, busca por palavras-chaves e expressões regu-</p><p>lares (indexação), separa arquivos de interesse em categorias (bookmarks)</p><p>e gera de relatórios.</p><p>No entanto, devem ser tomadas algumas das precauções. Se o computa-</p><p>dor não estiver ligado, não se deve ligá-lo e, caso esteja ligado, não se deve</p><p>desligá-lo. Essas ações alterariam as datas de último acesso, modificação e</p><p>criação de alguns arquivos. Além disso, não se pode conectar os dispositivos</p><p>USB apreendidos sem que a escrita seja bloqueada neles. A rede não pode</p><p>estar conectada a nenhum dos dispositivos apreendidos. Por fim, é necessário</p><p>utilizar técnicas que envolvam cópias fiéis das possíveis evidências para a</p><p>realização das análises.</p><p>Análise em mídias de armazenamento10</p><p>Pontos críticos durante a análise</p><p>Durante todo o processo de análise em mídias de armazenamento, desde a</p><p>etapa de recolhimento dos equipamentos para exames até a fase de análise</p><p>dos dados encontrados, alguns desafios podem atrapalhar ou impossibilitar</p><p>a apuração dos fatos. Quando impostos explicitamente pelos usuários, são</p><p>conhecidos pelo termo “antiforense”. Consistem em métodos de remoção,</p><p>ocultação ou subversão de evidências com o objetivo de mitigar os resultados</p><p>de uma análise forense computacional.</p><p>Segundo Harris (2006), existem métodos antiforense que têm por objetivo</p><p>eliminar, ocultar ou modificar as evidências existentes em um sistema, dificul-</p><p>tando o trabalho dos peritos. Para dificultar na recuperação de informações,</p><p>os invasores usam materiais para eliminar os dados, para que não restem</p><p>suspeitas, como:</p><p>[…] ferramentas (conhecidas como wiping tools) para remoção dos dados, tais como:</p><p>wipe, secure-delete, pgp wipe e The Defiler's Toolkit. Essa categoria de ferramentas</p><p>emprega uma variedade de técnicas para sobrescrever o conteúdo dos arquivos,</p><p>por exemplo, gravar dados de forma randômica e sobrepor o conteúdo dos arquivos</p><p>com bytes nulos. Essas ferramentas também alteram o inode dos arquivos o que</p><p>torna a tarefa de recuperação dos arquivos ainda muito complexa, embora seja</p><p>possível (PEREIRA et al., 2007, p. 31).</p><p>Podemos citar como exemplos desse tipo de prática a criptografia, a exis-</p><p>tência de senhas e o uso do wipe e da esteganografia. Além dessas complica-</p><p>ções, existem outras que surgem de acordo com o avanço da tecnologia, como</p><p>o aumento da quantidade de arquivos. Por último, há os entraves impostos</p><p>pela falta ou deficiência de legislação que apoiem e sirvam de sustentação</p><p>para o trabalho das autoridades investigativas, dos peritos e dos juízes. Sem</p><p>uma regulamentação que tipifique todas as transgressões cometidas no meio</p><p>virtual e um acordo de colaboração mundial, criminosos ficam impunes e</p><p>vítimas não têm o seu dano reparado. A capacidade de armazenamento de</p><p>dados dos dispositivos atuais vem crescendo vertiginosamente. Em alguns</p><p>casos, dispositivos com capacidade inferior a 100 GB podem ter mais de um</p><p>milhão de arquivos. Manipular e encontrar as evidências desejadas nessa</p><p>quantidade exorbitante de dados é um desafio e tanto.</p><p>A aplicação</p><p>de filtros como RDS e a procura por palavras-chave ajudam</p><p>a minimizar esse trabalho. Entretanto, é praticamente inviável analisar in-</p><p>dividualmente todos os arquivos contidos nas mídias de hoje em dia. Dessa</p><p>forma, para a realização de exames com maior rapidez, é fundamental ter</p><p>conhecimento da investigação, sabendo exatamente o que deverá ser procu-</p><p>Análise em mídias de armazenamento 11</p><p>rado. Os quesitos da solicitação de elaboração do laudo devem ser específicos</p><p>e claros, evitando-se indagações genéricas. Portanto, é fundamental que a</p><p>autoridade solicitante tenha um escopo bem delineado sobre o que perguntar.</p><p>Durante a realização de exames, é comum se deparar com arquivos e</p><p>programas protegidos por senha, que podem ocultar possíveis evidências.</p><p>Assim, é necessário o conhecimento de técnicas para transpor essa barreira.</p><p>Há algumas ferramentas que permitem a criação de um domínio de checa-</p><p>gem, definindo o número mínimo e máximo de caracteres e a utilização de</p><p>letras maiúsculas, minúsculas, números, caracteres especiais e máscaras.</p><p>O uso desses parâmetros é importante para tentar minimizar o número de</p><p>combinações a serem testadas.</p><p>Criptografia, que em grego significa “escrita escondida”, é uma técnica</p><p>utilizada para escrever em códigos. Com o uso de algoritmos matemáticos,</p><p>transforma a informação em sua forma original e legível para um texto incom-</p><p>preensível, procurando garantir a privacidade do dado original. É importante</p><p>sempre buscar por programas instalados no equipamento analisado que</p><p>executem essa tarefa, pois, dessa maneira, pode ser possível determinar o</p><p>algoritmo utilizado ou manipular o próprio software para decodificar o con-</p><p>teúdo do arquivo e/ou sistema. É fundamental ter conhecimentos avançados</p><p>sobre esse assunto, a fim de descobrir possíveis códigos criptografados no</p><p>dispositivo examinado e buscar por ferramentas capazes de recuperar a</p><p>informação original.</p><p>Já a esteganografia, que em grego significa “escrita encoberta”, é o estudo</p><p>e uso de técnicas para fazer com que uma forma escrita seja disfarçada</p><p>em outra a fim de mascarar o seu verdadeiro sentido. A principal diferença</p><p>entre a criptografia e a esteganografia está em seus propósitos: enquanto a</p><p>primeira tenta codificar o conteúdo, a segunda tenta camuflar a existência</p><p>de uma mensagem dentro de outra. Durante a análise dos dados contidos em</p><p>um disco rígido, é fácil para o perito caracterizar a existência de informações</p><p>criptografadas. Após isso, acaba tendo toda a sua atenção e esforço focados</p><p>para decodificá-las; afinal, os usuários não se preocupariam em proteger o</p><p>conteúdo de arquivos irrelevantes. A mensagem pode estar escondida dentro</p><p>de arquivos considerados comuns para o uso convencional do computador,</p><p>como documentos, imagens, vídeos, etc. (FISZMAN, 2015).</p><p>Essa técnica tem sido muito utilizada por empresas para proteger arqui-</p><p>vos próprios que têm direitos autorais. Quando reveladas, podem provar</p><p>e demonstrar que a propriedade intelectual de determinado arquivo lhe</p><p>Análise em mídias de armazenamento12</p><p>pertence. Esse tipo de aplicação é conhecido como marca d’água digital. Além</p><p>disso, números seriais podem ser inseridos em mídias de fácil reprodução</p><p>no meio digital, como vídeos e músicas. Assim, caso uma mesma cópia seja</p><p>distribuída de forma indiscriminada e ilegalmente, é possível identificar a</p><p>origem do vazamento. Esse tipo de técnica é comumente conhecido como</p><p>impressão digital.</p><p>Existem atualmente várias outras técnicas de esteganografia mais simples</p><p>ou mais complexas do que as apresentadas aqui, o que acaba dificultando</p><p>o trabalho do perito. Caso não descubra o tipo utilizado para ocultar a men-</p><p>sagem, uma alternativa é verificar se há softwares específicos instalados</p><p>no dispositivo examinado, pois, desse modo, pode ser possível determinar</p><p>a técnica praticada ou usar o próprio software para descobrir o conteúdo</p><p>do arquivo.</p><p>Referências</p><p>ARANHA, O. Queira o Sr. Perito detalhar o procedimento de cópia forense. [S. l.]: Queira</p><p>o Sr. Perito, 2015. Disponível em: https://qperito.wordpress.com/2015/08/05/queira-o-</p><p>-sr-perito-detalhar-o-procedimento-tecnico-para-realizacao-de-uma-copia-forense/.</p><p>Acesso em: 22 jul. 2021.</p><p>BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais</p><p>(LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.</p><p>gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 6 jul. 2021.</p><p>DICKERMAN, D. Advanced data carving. IRS Criminal Investigation - Electronic Crimes</p><p>Program, 2006.</p><p>ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo:</p><p>Novatec, 2011.</p><p>FISZMAN, G. O que é esteganografia? [S. l.]: Techtudo, 2015. Disponível em: https://</p><p>www.techtudo.com.br/noticias/noticia/2015/07/o-que-e-esteganografia.html. Acesso</p><p>em: 26 jun. 2021.</p><p>HARRIS, R. Arriving at an anti-forensics consensus: examining how to define and control</p><p>the anti-forensics problem. Digital Investigation, v. 35, p. 544-549, 2006. Disponível em:</p><p>https://www.academia.edu/687738/Arriving_at_an_anti-forensics_consensus_Exami-</p><p>ning_how_to_define_and_control_the_anti-forensics_problem. Acesso em: 22 jul. 2021.</p><p>NEUKAMP, P. A. Minicurso forense digital. [S. l.]: FDTK, 2014. Disponível em: http://fdtk.</p><p>com.br/wp-content/uploads/2014/10/Minicurso-Forense-Digital-2014.pdf. Acesso</p><p>em: 26 jun. 2021.</p><p>PEREIRA, E. D. V. et al. Forense computacional: fundamentos, tecnologias e desafios</p><p>atuais. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS</p><p>COMPUTACIONAIS, 7., 2007, Rio de Janeiro. Anais [...]. Rio de Janeiro: Faperj, 2007.</p><p>SAMPAIO, C. Forense computacional. In: SEGURANÇA COMPUTACIONAL, 3., 2007, Recife.</p><p>Anais [...]. Recife: [s. n.], 2007. p. 12-24.</p><p>Análise em mídias de armazenamento 13</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise em mídias de armazenamento14</p><p>Dica do professor</p><p>Celulares e smartphones são dispositivos móveis de armazenamento muito usados. Estes têm muita</p><p>informação armazenada, como contatos, fotos, vídeos, localização, etc. No entanto, a metodologia</p><p>usada para a extração de arquivos é um pouco diferente da usada em mídias de armazenamento</p><p>mais comuns, como um HD, por exemplo.</p><p>Nesta Dica do Professor, você vai conhecer essa metodologia.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/f9ada90f5b2e3bc49c85e7d6e60d5021</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Hashcat</p><p>Conheça o Hashcat, um programa para quebra de senhas. Ele é considerado o mais rápido para</p><p>esse tipo de operação entre as opções que ainda utilizam o poder do processador. Confira.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Autopsy</p><p>Conheça o Autopsy, um software de computador que simplifica a implantação de muitos programas</p><p>e plug-ins de código aberto usados no The Sleuth Kit.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>O trabalho e seus sentidos: um estudo com peritos criminais da</p><p>Polícia Federal</p><p>Neste artigo, você vai conhecer um pouco mais sobre o trabalho de peritos federais na análise de</p><p>mídias de armazenamento.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://hashcat.net</p><p>https://www.autopsy.com/</p><p>https://www.scielo.br/j/rap/a/BMTcHLGcwc4RTMCrbz9RDZw/?lang=pt</p><p>Os impactos da obsolescência tecnológica frente à preservação</p><p>de documentos digitais</p><p>Este artigo mostra</p><p>como a obsolescência tecnológica afeta o desempenho e a conduta nas</p><p>atividades de preservação digital.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Abordagem passiva para reconhecimento de adulterações em</p><p>imagens digitais através da análise do padrão CFA e do BAG</p><p>A análise forense em imagens digitais busca, por meio de métodos computacionais científicos,</p><p>reconhecer a presença ou a ausência desses atributos. O artigo a seguir apresenta um método de</p><p>reconhecimento de adulteração em imagens com e sem compressão. Veja a seguir.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Armazenamento e gerenciamento de informações: como</p><p>armazenar, gerenciar e proteger informações digitais</p><p>Neste livro, você vai ver conceitos sobre a segurança, o gerenciamento e o monitoramento da</p><p>infraestrutura de armazenamento.</p><p>Conteúdo interativo disponível na plataforma de ensino!</p><p>Autopsy Digital Forensics</p><p>Neste vídeo, você vai ver uma demonstração de como usar o software Autopsy: iniciando pela</p><p>instalação até a análise de um caso fictício.</p><p>https://revistas.marilia.unesp.br/index.php/bjis/article/view/5550</p><p>http://seer.upf.br/index.php/rbca/article/view/6098</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://www.youtube.com/embed/GjldVxofoL8</p><p>Análise em locais de internet</p><p>Apresentação</p><p>Nos últimos 20 anos, a internet transformou a sociedade em todas as suas áreas. De acordo com</p><p>um relatório da Organização das Nações Unidas (ONU), o uso mundial da internet aumentou</p><p>consideravelmente se comparado ao que se via no ano de 1994 em termos de acesso. Atualmente,</p><p>são 4,66 bilhões de usuários ativos em todo o mundo, pelos dados atualizados até julho de 2021.</p><p>Uma pesquisa realizada em abril de 2021 mostrou que mais de 87% dos domicílios brasileiros têm</p><p>acessa à internet. Em uma das redes sociais mais utilizadas no mundo, o Facebook, existiam 130</p><p>milhões de contas brasileiras ativas em 2020, enquanto, no total mundial, eram cerca de 2,7 bilhões</p><p>de contas ativas.</p><p>A conectividade com a internet, no entanto, não se limita apenas a humanos. Em 2008, o número</p><p>de coisas conectadas à internet excedeu a população humana da Terra. Isso porque esses objetos</p><p>conectados não se restringem a smartphones e tablets. Com o advento da Internet das Coisas (IoT),</p><p>têm-se geladeiras conectadas, carros inteligentes, dispositivos com sensores sem fios funcionando</p><p>em pastagens, plantações e florestas, e diversos outros equipamentos com as mais variadas</p><p>funcionalidades que podemos imaginar. De acordo com a International Data Corporation, em 2020,</p><p>o número de dispositivos conectados à internet alcançou cerca de 100 bilhões em todo o mundo.</p><p>A expansão da conectividade com a internet tem sido extremamente benéfica para muitos</p><p>empreendimentos humanos, como comunicação, educação, comércio, transporte e recreação, para</p><p>citar alguns. Infelizmente, os criminosos também encontraram maneiras de tirar proveito dos</p><p>benefícios da internet, como maiores oportunidades de encontrar vítimas. Assim, para que os</p><p>peritos possam investigar as fraudes, os crimes e os incidentes na internet, é necessário entender</p><p>como as pessoas são vítimas e como os criminosos agem, bem como conhecer os serviços</p><p>disponíveis, para saber o que e como procurar por vestígios.</p><p>Nesta Unidade de Aprendizagem, você vai verificar os principais serviços disponibilizados pela</p><p>infraestrutura da internet que costumam ser periciados, bem como as suas peculiaridades. Além</p><p>disso, você vai conhecer algumas ferramentas disponíveis que têm ajudado os peritos a</p><p>encontrarem os vestígios da realização de atividades criminosas. Por fim, você vai compreender</p><p>como acontece a análise de vestígios dentro desses principais serviços da internet.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados e suas peculiaridades.•</p><p>Descrever a metodologia e as ferramentas para realizar os exames</p><p>na internet.</p><p>•</p><p>Explicar a análise de vestígios.•</p><p>Infográfico</p><p>É altamente recomendado aos peritos ou profissionais da área forense entender como criminosos</p><p>podem cometer ou ocultar crimes, coletar informações de vítimas, trocar informações maliciosas</p><p>com outros criminosos, e assim por diante. Dessa forma, quando acontece algum incidente ou</p><p>crime, o perito saberá como agir para coletar as famosas pegadas digitais.</p><p>Neste Infográfico, você vai conhecer como os criminosos costumam</p><p>agir nos principais serviços disponíveis na internet.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/2cf9239e-2424-4667-b441-c64065f1724b/e66c2a6e-f1ff-4d8e-bede-4aea1c328a05.jpg</p><p>Conteúdo do livro</p><p>A internet é uma ferramenta muito poderosa e barata que foi criada para a distribuição gratuita de</p><p>conhecimento e informação. Por outro lado, ela tem sido palco de crimes das mais variadas</p><p>espécies, como venda e troca de materiais ilícitos, tráfico de armas, estupro e invasões virtuais,</p><p>roubo de dados sensíveis, pedofilia, entre outros. Assim, evidências digitais podem ser coletadas,</p><p>por exemplo, de um navegador da web, como cache, histórico, cookies e lista de download.</p><p>No capítulo Análise em locais de Internet, base teórica desta Unidade de Aprendizagem, você vai</p><p>conhecer os diferentes itens que podem passar por perícias, bem como entender a metodologia e</p><p>as ferramentas utilizadas para realizar esses exames na internet. Você vai entender também como</p><p>acontece a análise dos vestígios deixados.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na</p><p>internet.</p><p>> Explicar a análise dos vestígios.</p><p>Introdução</p><p>O número de usuários da internet cresce a cada dia, e, dessa forma, o número</p><p>de crimes relacionados ao uso desse recurso também aumenta. O processo de</p><p>computação forense vem usando dispositivos digitais para fazer a extração de</p><p>informações e identificar se dispositivos foram hackeados ou se estão sendo</p><p>observados.</p><p>A computação forense tem como principal objetivo reunir as evidências</p><p>digitais da cena do crime. A análise de locais da internet é uma parte importante</p><p>dessa ciência, uma vez que há muitos incidentes e casos criminais e civis que</p><p>podem ser baseados em evidências digitais coletadas de atividades de usuários</p><p>na internet. A internet pode ser utilizada por criminosos para coletar e consultar</p><p>informações sobre suas vítimas e aliciá-las, para buscar novas técnicas de crime</p><p>ou mesmo para ocultar seus crimes. Esses criminosos podem deixar vestígios</p><p>digitais, que podem ser analisados e considerados em uma investigação.</p><p>Análise em locais</p><p>de internet</p><p>Nicolli Souza Rios Alves</p><p>Neste capítulo, você vai entender o que pode ser periciado em análises em</p><p>locais de internet e vai conhecer as peculiaridades dessa atividade. Além disso,</p><p>você vai estudar as diferentes metodologias e ferramentas utilizadas para realizar</p><p>exames na internet. Por fim, você vai entender como é feita a análise de vestígios.</p><p>Itens periciados e suas peculiaridades</p><p>Com o aumento do número de usuários com acesso à internet, aumentou</p><p>também a variedade de crimes que podem envolver computadores, devido à</p><p>criação de muitas fontes potenciais de evidências digitais. Muitas vezes, usuá-</p><p>rios se sentem protegidos pela ideia de anonimato que a internet transmite</p><p>e, assim, passam a agir de formas que, no mundo físico, eles apenas imagina-</p><p>riam. Dessa forma, esses usuários expressam pensamentos que dificilmente</p><p>compartilhariam se não existisse a internet. Porém poucos sabem que esse</p><p>tipo de atividade, realizada aparentemente de forma anônima, deixa vestígios</p><p>em servidores, como as pegadas digitais (pegadas de dados). Uma</p><p>vez iden-</p><p>tificados, esses dados podem refletir os pensamentos e interesses privados</p><p>de um indivíduo, os seus padrões de comportamento e o seu paradeiro em</p><p>um momento específico, o que pode ser muito útil durante uma investigação.</p><p>A internet fornece uma infraestrutura com milhares de serviços e aplicações</p><p>diferentes. Basicamente, o processo de compreensão da internet pode ser</p><p>simplificado por meio de seus sete serviços principais (CASEY, 2018):</p><p>1. World Wide Web (ou somente web);</p><p>2. e-mail;</p><p>3. rede social;</p><p>4. redes de bate-papo síncronas (ao vivo);</p><p>5. redes ponto a ponto (P2P);</p><p>6. mundos virtuais (ambiente imersivo simulado a partir de recursos</p><p>computacionais, destinado a ser habitado e permitir a interação dos</p><p>seus usuários por meio de avatares);</p><p>7. grupos de notícias (também conhecidos como grupos de discussão</p><p>assíncronos).</p><p>Análise em locais de internet2</p><p>As duas últimas categorias estão crescendo rapidamente. Cada vez mais</p><p>pessoas estão se comunicando por meio de aplicações de chat ao vivo, como</p><p>Skype, Microsoft Teams, Google Meet, Zoom e Whereby, e compartilhando</p><p>música, vídeo e outras mídias, usando aplicações como Limewire, uTorrent</p><p>e Vuze.</p><p>Muitos serviços da internet retêm informações sobre pessoas, empresas e</p><p>áreas geográficas, já que muitas pessoas fazem uso dela para comunicação,</p><p>exploração de novas ideias e realização de compras. Ainda, muitas empresas</p><p>usam a camada de aplicação de suas redes privadas para facilitar a comu-</p><p>nicação entre os funcionários e tornar mais eficientes as vendas, a folha de</p><p>pagamentos e outras transações financeiras de rotina.</p><p>Toda essa combinação de atividades sociais e financeiras torna a camada</p><p>de aplicação um local atraente para criminosos. Assim, golpistas encontram</p><p>alvos por e-mail e pela web, agressores sexuais buscam por vítimas em redes</p><p>sociais e bate-papos, stalkers obtêm informações sobre suas vítimas na</p><p>internet e a utilizam para assediá-las, intrusos invadem redes e roubam</p><p>dados pessoais, como números de cartões, e integrantes de grupos de ódio</p><p>se reúnem para se comunicar, publicar e ameaçar.</p><p>Vamos conhecer agora um pouco mais sobre esses principais serviços da</p><p>internet citados por Casey (2018).</p><p>World Wide Web</p><p>Em 1991, a web foi disponibilizada publicamente pela primeira vez e se tornou</p><p>tão popular que, muitas vezes, é confundida com a própria internet. Outros</p><p>serviços de internet, incluindo e-mail e redes de bate-papo síncronas, agora</p><p>podem ser acessados por meio de páginas da web. Estas facilitam a interação</p><p>dos indivíduos com outros serviços da internet, disfarçando sua complexidade</p><p>com uma interface de usuário amigável.</p><p>A popularidade e o rápido crescimento da web são principalmente o resul-</p><p>tado de seu potencial comercial, já que pessoas e empresas podem disponi-</p><p>bilizar informações e produtos para qualquer pessoa no mundo. Esse tipo de</p><p>coisa só era possível com aplicações menos amigáveis, como Archie e FTP, até</p><p>a web incorporá-las e virar o maior repositório de informações da história.</p><p>Junto com o crescimento da web como meio de realização de transações</p><p>financeiras, percebem-se cada vez mais atividades criminosas acontecendo</p><p>de diversas formas. Talvez a mais comum delas é o roubo de dados bancários</p><p>e de identidades para obtenção de lucro. Outra atividade criminosa que tem</p><p>Análise em locais de internet 3</p><p>crescido bastante é a venda de itens que são proibidos de serem comerciali-</p><p>zados, como alguns tipos de medicamentos e armas. Além disso, a web é um</p><p>meio de comunicação muito usado entre criminosos.</p><p>Correio eletrônico (e-mail)</p><p>Esse é um serviço que permite que as pessoas troquem mensagens eletrônicas.</p><p>Essas mensagens serão entregues por cabos e computadores até a caixa de</p><p>correio eletrônica do destinatário, desde que elas sejam endereçadas correta-</p><p>mente. Esse serviço é um dos mais utilizados na internet e, consequentemente,</p><p>um dos mais usados pelos criminosos. Porém, como esse serviço geralmente</p><p>oferece um certo nível de privacidade, principalmente quando serviços de</p><p>criptografia ou anônimos são utilizados, pode ser difícil entender se o e-mail</p><p>está sendo utilizado para cometer ou facilitar um crime.</p><p>Apesar da possibilidade de uma mensagem de e-mail ser interceptada</p><p>durante o caminho entre o remetente e o destinatário, ou até mesmo coletada</p><p>do computador de um indivíduo, o e-mail pessoal é geralmente protegido</p><p>por leis de privacidade rígidas. Isso dificulta a obtenção de dados, tornando</p><p>essa uma das formas mais difíceis de obter evidências digitais. Dessa forma,</p><p>mesmo que peritos obtenham um e-mail incriminador, pode ser difícil provar</p><p>que um indivíduo específico enviou a mensagem, pois ele pode facilmente</p><p>alegar que não enviou a mensagem, por exemplo.</p><p>Redes sociais</p><p>É inegável o crescimento do uso das redes sociais na última década.</p><p>As pessoas costumam usá-las para realizar encontros e conversar com amigos</p><p>e familiares. Os sites de redes sociais incluem Orkut, Facebook, LinkedIn,</p><p>Instagram, TikTok, entre outros tantos que já existiram e existem até hoje.</p><p>Ao contrário de muitas outras áreas da internet, as redes sociais atraem</p><p>pessoas de todas as idades, desde crianças até idosos. Isso porque essas</p><p>plataformas geralmente disponibilizam uma grande variedade de recursos,</p><p>como envio de mensagens privadas, compartilhamento de fotos e vídeos,</p><p>formação de grupos de interesses, cursos e até oportunidades de empregos.</p><p>Nesses sites, é comum que os usuários criem perfis pessoais, com fotos e</p><p>informações pessoais e geográficas. E é aí que entra a ação dos criminosos.</p><p>Muitos usam essas informações para direcionar determinados tipos de pes-</p><p>soas para exploração ou fraude. Além disso, essas informações podem ser</p><p>usadas por peritos digitais em uma investigação, com o intuito de aprender</p><p>Análise em locais de internet4</p><p>mais sobre uma determinada pessoa. Está cada vez mais frequente o uso de</p><p>redes sociais para facilitar crimes como fraudes, cyberbullying, exploração</p><p>infantil, assassinato e diversos outros.</p><p>Redes de bate-papo síncronas</p><p>As conversas ao vivo entre usuários na internet existem em muitos formatos</p><p>(por exemplo, texto, áudio e vídeo), envolvem uma grande variedade de tópicos</p><p>e ocorrem 24 horas por dia. Uma das maiores redes de chat é o IRC (Internet</p><p>Relay Chat), iniciado em 1988 e que pode ser acessado por qualquer pessoa</p><p>na internet usando software gratuito ou de baixo custo. O IRC é efetivamente</p><p>anônimo, já que não é necessário pagar ou mesmo se registrar para usar;</p><p>dessa forma, torna-se atraente para os criminosos. O IRC permite que os</p><p>usuários criem suas próprias salas autointituladas e optem por não ter seus</p><p>canais listados, tornando-os mais difíceis de localizar.</p><p>Nesse contexto, há muitas salas de chat do IRC para os mais diversos</p><p>propósitos, principalmente maliciosos. Salas são usadas para facilitar a dis-</p><p>cussão de atividades ilegais e a troca de materiais ilícitos. Criminosos também</p><p>costumam se reunir em alguns desses canais para compartilhar informações,</p><p>desde técnicas gerais de invasão até senhas de sistemas comprometidos.</p><p>Os criminosos de pornografia infantil se reúnem para trocar materiais, e o</p><p>IRC já foi usado para transmitir sessões ao vivo de crianças sendo abusadas</p><p>sexualmente.</p><p>Certos canais são visíveis, e alguns deles podem até ser encontrados por</p><p>meio de buscas na web. Porém muitos deles são extremamente difíceis de</p><p>serem encontrados, uma vez que lidam com atividades ilegais, como venda de</p><p>software, música e filmes pirateados, venda de cartões de crédito roubados</p><p>e troca de mercadorias ilícitas. Dessa forma, só podem ser acessados por</p><p>convite ou são protegidos por senha.</p><p>O IRC tem um recurso de conexão direta com o cliente (DCC) que permite</p><p>que duas pessoas tenham uma conversa privada e troquem arquivos sem</p><p>serem vistos por ninguém. O recurso DCC estabelece uma conexão direta entre</p><p>computadores pessoais, contornando a rede IRC, deixando pouca ou nenhuma</p><p>evidência digital nos servidores IRC. Os atos</p><p>de bate-papo particular e de</p><p>transferir arquivos por meio de uma conexão mais segura se tornaram muito</p><p>poderosos e podem levar a um nível de atividade criminosa que dá significado</p><p>à denominação dessa sub-rede: Undernet. O DCC pode ser considerado um</p><p>submundo da internet, uma vez que é a parte menos visível do IRC.</p><p>Análise em locais de internet 5</p><p>Redes P2P</p><p>Um host em uma rede P2P pode funcionar simultaneamente como servidor e</p><p>cliente, baixando arquivos de pares enquanto permite que os pares baixem</p><p>arquivos dele. KaZaA e Gnutella são duas redes P2P bastante populares, que</p><p>usam protocolos baseados em HTTP (Hypertext Transfer Protocol) para trocar</p><p>dados. Muitas dessas aplicações têm uma quantidade limitada de informações</p><p>que podem ser úteis para os investigadores.</p><p>Quando os indivíduos se conectam pela primeira vez a uma rede P2P, eles</p><p>precisam apenas selecionar um nome de usuário exclusivo. Embora a escolha</p><p>do nome de usuário possa ser suficientemente exclusiva para pesquisar</p><p>informações relacionadas na internet, há muito pouco a se fazer além de</p><p>identificar o endereço de Protocolo da Internet (IP, do inglês Internet Protocol).</p><p>Quando um arquivo está sendo baixado de um par, o endereço IP associado</p><p>pode ser visualizado usando netstat. No entanto, alguns clientes P2P podem</p><p>ser configurados para se conectar por meio de um proxy SOCK para ocultar</p><p>o endereço IP real do par. Enquanto a maioria dos sistemas P2P transfere</p><p>arquivos usando uma única conexão, um ponto KaZaA pode baixar fragmentos</p><p>de vários pontos e remontá-los em um arquivo completo.</p><p>Mundos virtuais</p><p>Os multi-user dungeons (MUDs) são uma espécie de jogo de representação</p><p>(RPG, do inglês role-playing game) multijogadores baseado em texto e foram</p><p>uma das primeiras formas de realidade virtual e jogos on-line. A tecnologia evo-</p><p>luiu a tal ponto que mundos virtuais em três dimensões (3D), como Second Life,</p><p>HiPiHi, Haboo, The Sims e Sociolotron, permitem que um indivíduo crie um</p><p>avatar e navegue através de edifícios e espaços abertos. Alguns desses mundos</p><p>virtuais podem ser combinados com jogos on-line, como World of Warcraft.</p><p>Além disso, sistemas de jogos como Xbox e Playstation têm seus próprios</p><p>mundos virtuais on-line, onde os usuários podem interagir uns com os outros</p><p>e comprar itens.</p><p>Seguindo a mesma linha das redes sociais, os usuários podem criar uma</p><p>persona on-line, informando detalhes pessoais e usando um perfil, nesse caso,</p><p>de mundo virtual — um avatar. Nesse contexto, também é possível ter acesso</p><p>a chats ou algum tipo de envio de mensagem, podendo até envolver arquivos</p><p>de áudio, fotos e vídeos. Por conta disso, há mundos virtuais voltados para</p><p>o público adulto, projetados especificamente para os usuários fazerem sexo</p><p>virtual uns com os outros, incluindo práticas como estupro virtual e pedofilia.</p><p>Análise em locais de internet6</p><p>Nesse sentido, há um grande potencial para atividades ilegais como fraude,</p><p>lavagem de dinheiro e tráfico de materiais ilegais nesse tipo de serviço da</p><p>internet. Outra atividade que tem crescido bastante é o planejamento de</p><p>ataques terroristas reais. Nesse contexto, criminosos criam em mundos</p><p>virtuais as suas próprias áreas, para se assemelhar a edifícios ou regiões</p><p>específicas do mundo real, criando um potencial para violência simulada</p><p>que serve como um precursor desses ataques no mundo real.</p><p>Grupos de notícias</p><p>Esse tipo de serviço é similar a um quadro de avisos públicos, mas na versão</p><p>on-line, na forma de fóruns. Ele permite a comunicação assíncrona, que</p><p>geralmente se assemelha a uma discussão. Qualquer pessoa com acesso à</p><p>internet pode postar uma mensagem nesses quadros de avisos e voltar mais</p><p>tarde para ver se alguém respondeu.</p><p>Esse serviço é bastante utilizado para a comunicação com um grande</p><p>público. Dessa forma, criminosos fazem uso desses fóruns para trocar infor-</p><p>mações e cometer crimes, incluindo difamação, violação de direitos autorais,</p><p>assédio, perseguição, fraude e aliciamento de menores. Além disso, porno-</p><p>grafia infantil e softwares piratas são anunciados e trocados frequentemente</p><p>nesse tipo de serviço, uma vez que criminosos se inscrevem em grupos de</p><p>notícias que atraem vítimas em potencial.</p><p>Assim como o e-mail, as mensagens trocadas têm cabeçalhos contendo</p><p>informações sobre o remetente e todo o caminho percorrido pela mensagem.</p><p>No entanto, o formato desses cabeçalhos é um pouco diferente do e-mail.</p><p>Assim como no e-mail, o cabeçalho pode ser alterado com a intenção de</p><p>dificultar que o remetente seja identificado. Com treinamento e prática,</p><p>os peritos aprendem a extrair uma grande quantidade de informações nesse</p><p>contexto.</p><p>Na próxima seção, vamos estudar algumas das ferramentas disponíveis</p><p>para realizar análise forense em locais da internet.</p><p>Metodologia e ferramentas</p><p>Fazer o rastreamento cibernético — ou seja, seguir as famosas pegadas digitais</p><p>— é uma prática importantíssima para pesquisar informações relacionadas</p><p>na internet, como as páginas da web da vítima ou as mensagens da Usenet,</p><p>o endereço de e-mail ou o número de telefone de um criminoso e dados pessoais</p><p>em vários bancos de dados on-line. Buscar por algo específico na internet pode</p><p>Análise em locais de internet 7</p><p>ser como procurar por uma agulha no palheiro, já que ela apresenta muitas</p><p>informações mal ordenadas. Dessa forma, é muito importante aprender como</p><p>pesquisar de forma eficiente e se familiarizar com as várias ferramentas de</p><p>busca existentes, bem como desenvolver suas próprias estratégias de busca.</p><p>Há muitas ferramentas disponíveis que facilitam essa captura de evidên-</p><p>cias em locais da internet. Algumas delas fazem a captura de um site com</p><p>eficiência e completude, como:</p><p>� Web Copier, da MaximumSoft;</p><p>� WebSnake, da Anawave;</p><p>� Wget, do GNU;</p><p>� Black Widow, da SoftByte Labs;</p><p>� Snagit, da TechSmith.</p><p>É importante lembrar que algumas dessas ferramentas citadas não vão</p><p>fazer a cópia de uma página da web caso os links estejam codificados de</p><p>forma que as ferramentas não entendam. Assim, é altamente recomendado</p><p>testar a ferramenta primeiro, para checar sua adequação para realizar uma</p><p>determinada tarefa e fazer a inspeção da qualidade dos arquivos retornados</p><p>por ela. É muito importante lembrar de que todos esses arquivos gerados</p><p>devem ser inventariados, documentando-se os nomes dos arquivos, os valores</p><p>MD5 e os carimbos de data e hora.</p><p>Existem diversas outras ferramentas usadas para realizar a análise forense</p><p>da internet e projetadas para automatizar o processo de descoberta de vestí-</p><p>gios. A seguir, são descritas algumas delas ( DANIEL, Larry; DANIEL, Lars, 2011):</p><p>� Belkasoft Evidence Center: suporta mais de 250 tipos de artefatos,</p><p>incluindo todos os navegadores populares para Windows e MacOS X</p><p>(Internet Explorer 6 a 10, todas as versões do Google Chrome, Mozilla</p><p>Firefox, Opera e Apple Safari), uma infinidade de mensageiros instantâ-</p><p>neos, redes sociais, aplicações P2P, clientes de e-mail como Microsoft</p><p>Outlook, Outlook Express, Windows Live Mail e Thunderbird, e muitos</p><p>outros tipos de evidências digitais relacionadas à internet.</p><p>� FireEye RedLine: oferece a capacidade de realizar a análise de memória</p><p>e arquivo de um host específico. Essa ferramenta coleta informações</p><p>sobre a execução de processos e drivers da memória e reúne metadados</p><p>do sistema de arquivos, dados de registro, logs de eventos, informações</p><p>de rede, serviços, tarefas e histórico da internet, para ajudar a construir</p><p>um perfil geral de avaliação de ameaças.</p><p>Análise em locais de internet8</p><p>� Paladin Forensic Suite: é baseado no Ubuntu, que vem com uma grande</p><p>variedade de ferramentas forenses de código aberto. As mais de</p><p>80 ferramentas nesse pacote (suíte) são organizadas em mais de</p><p>25 categorias, incluindo ferramentas de imagem, análise de malware,</p><p>análise de mídia social, ferramentas de hash, etc.</p><p>� Xplico: é uma ferramenta de análise forense de rede (NFAT) de código</p><p>aberto que visa a extrair dados de aplicativos do tráfego da internet,</p><p>como a</p><p>extração de uma mensagem de e-mail do tráfego POP, IMAP</p><p>ou SMTP.</p><p>� Email Tracker: por meio dessa ferramenta e de várias outras que têm</p><p>o mesmo intuito, pode-se conhecer o local de origem de um e-mail,</p><p>a sua rota e a empresa responsável.</p><p>� Forensic IM Analyzer: realiza análise forense da internet de logs de</p><p>mensagens instantâneas e arquivos de histórico, extraindo e anali-</p><p>sando bate-papos IM (instant message) e comunicações de arquivos</p><p>de log existentes.</p><p>■ As edições Forensic IM Analyzer Professional e Ultimate estão dispo-</p><p>níveis para realizar uma análise forense da internet mais abrangente,</p><p>oferecendo a capacidade de extrair muito mais tipos de evidências</p><p>em comparação com o Forensic IM Analyzer.</p><p>■ Além de históricos de mensagens, as duas edições podem analisar</p><p>dados do navegador da web (registros de histórico, arquivos em</p><p>cache e cookies), extrair conversas de redes sociais, realizando uma</p><p>análise de Live RAM do PC, incluindo a análise de dumps de memória</p><p>(instantâneos de memória volátil), arquivos de paginação (pagefile.</p><p>sys) e arquivo de hibernação (hiberfile.sys).</p><p>■ As diferenças entre as edições Ultimate e Professional incluem a</p><p>capacidade do Forensic Studio Ultimate de analisar vídeos e fotos,</p><p>facilitando a descoberta de conteúdo ilegal, como pornografia,</p><p>e localizar automaticamente certos tipos de evidências, como ima-</p><p>gens que contêm rostos humanos ou documentos digitalizados. Além</p><p>disso, o Forensic Studio Ultimate pode analisar arquivos de backup</p><p>produzidos por muitos telefones celulares.</p><p>Análise de vestígios</p><p>Realizar análises forenses em locais da internet envolve a extração, a análise</p><p>e a identificação de evidências relacionadas às atividades on-line de usuários.</p><p>Evidências relacionadas à internet incluem artefatos como arquivos de log,</p><p>Análise em locais de internet 9</p><p>arquivos de histórico, cookies, conteúdo em cache, bem como quaisquer</p><p>vestígios de informações deixados na memória volátil do computador (RAM).</p><p>De acordo com Mallmith (2007), os vestígios nada mais são do que qual-</p><p>quer marca, objeto ou sinal sensível que possa estar associado ao fato que</p><p>está em investigação. Isso implica que, já que o vestígio existe, também há</p><p>um agente provocador — que é aquele que causou ou contribuiu — e um</p><p>suporte adequado para a sua ocorrência — que seria o local onde o vestígio</p><p>se materializou. Dessa forma, todos os vestígios encontrados no local do</p><p>incidente, em um primeiro momento, são essenciais para elucidar os fatos.</p><p>Nesse contexto, vamos conhecer agora mais um pouco sobre como acon-</p><p>tece a análise de vestígios nos principais serviços da internet citados na</p><p>primeira seção deste capítulo.</p><p>Websites</p><p>Envolve exames em locais da internet com o intuito de identificar alguma</p><p>prática criminosa, como fotos de exploração sexual infantil, falsificação de</p><p>páginas web de bancos, produtos ilegais sendo comercializados, crimes de</p><p>ódio, entre outros. Nesse caso, geralmente os peritos costumam realizar as</p><p>seguintes etapas (NALAWADE; BHARNE; MANE, 2016):</p><p>� Análise integrada: nessa análise, as informações críticas, mais do que</p><p>todas as outras informações, são as informações de tempo. Cada ar-</p><p>quivo de registro do navegador da web contém informações de tempo,</p><p>e, portanto, é possível construir uma matriz de linha do tempo usando</p><p>essas informações obtidas.</p><p>� Análise da linha do tempo: ao realizar esse tipo de análise, o perito</p><p>pode rastrear as atividades criminosas do suspeito em sua totalidade.</p><p>� Análise do histórico de pesquisa: uma única palavra ou frase nos termos</p><p>de buscas pode fornecer palavras-chave para o crime do suspeito.</p><p>� Análise de codificação de URL (Uniform Resource Locator): a decodi-</p><p>ficação de caracteres codificados é relevante para peritos em países</p><p>que não falam inglês.</p><p>� Análise da atividade do usuário: o investigador deve acessar cada site</p><p>apropriado para adivinhar a atividade do usuário.</p><p>� Recuperação de informações excluídas: os navegadores da web podem</p><p>recuperar as informações excluídas de arquivos temporários da inter-</p><p>net, arquivos de log de sessão, cookies e arquivos de cache.</p><p>Análise em locais de internet10</p><p>Além disso, para casos como esses, pode ser obrigatório seguir determi-</p><p>nados quesitos. Os quesitos recomendados e não recomendados para esse</p><p>tipo de exame podem ser observados no Quadro 1.</p><p>Correio eletrônico (e-mail)</p><p>Envolve o exame de mensagens de e-mail, com o intuito de identificar a origem</p><p>e/ou o autor, e a extração de mensagens de e-mail presentes em mídias de</p><p>armazenamento, como em servidores. O material investigado aqui consiste</p><p>em uma mídia de armazenamento computacional ou uma folha impressa que</p><p>contenha um cabeçalho completo da mensagem eletrônica (BRASIL, 2012). Na</p><p>maioria das vezes, podemos rastrear um e-mail até a sua origem e identificar</p><p>o remetente usando as informações dos cabeçalhos do e-mail. Mesmo que</p><p>algumas informações em um cabeçalho de e-mail sejam falsificadas, ele pode</p><p>conter informações de identificação do remetente.</p><p>Quando temos o envio de mensagens envolvendo ato ilícito, difamação,</p><p>ameaça e outras questões, pode ser obrigatório seguir alguns quesitos.</p><p>Para esse caso, os quesitos recomendados e não recomendados podem ser</p><p>observados no Quadro 1.</p><p>Quadro 1. Orientação de quesitos</p><p>Tipo de</p><p>exame</p><p>Quesitos</p><p>recomendados Quesitos não recomendados</p><p>Correio</p><p>eletrônico</p><p>Conteúdo, endereço</p><p>de correio eletrônico,</p><p>endereço IP do</p><p>remetente e horário</p><p>completo de</p><p>envio dos e-mails</p><p>encaminhados para</p><p>exame.</p><p>— É possível identificar o número</p><p>da linha telefônica, o endereço ou o</p><p>nome do responsável pelo envio das</p><p>mensagens?</p><p>Justificativa: os peritos criminais</p><p>federais não têm acesso a essas</p><p>informações. Elas só podem ser</p><p>fornecidas pelo provedor de serviço</p><p>de internet, que deve ser oficiado</p><p>pelo responsável pela investigação</p><p>em curso.</p><p>— Qual é o provedor de serviço de</p><p>internet responsável pelo endereço IP</p><p>em questão?</p><p>Justificativa: essa informação é de</p><p>domínio público, estando disponível</p><p>para consulta na internet.</p><p>(Continua)</p><p>Análise em locais de internet 11</p><p>Tipo de</p><p>exame</p><p>Quesitos</p><p>recomendados Quesitos não recomendados</p><p>Website</p><p>Solicitação da</p><p>preservação do</p><p>conteúdo do website.</p><p>— Quais são as informações de</p><p>registro do sítio em questão</p><p>(responsável pelo domínio, pelas</p><p>informações do provedor de</p><p>hospedagem, etc.)?</p><p>Justificativa: essa informação é de</p><p>domínio público, estando disponível</p><p>para consulta na internet.</p><p>— É possível identificar o IP, a linha</p><p>telefônica ou o endereço de onde</p><p>partiu o cadastramento dos dados</p><p>para registro do domínio?</p><p>Justificativa: os peritos criminais</p><p>federais não têm acesso a essas</p><p>informações. Elas só podem ser</p><p>fornecidas pelo provedor de serviço</p><p>de internet, que deve ser oficiado</p><p>pelo responsável da investigação em</p><p>curso.</p><p>— É possível identificar os</p><p>responsáveis pela alimentação das</p><p>informações do sítio?</p><p>Justificativa: os peritos criminais</p><p>federais não têm acesso a essas</p><p>informações. Elas só podem ser</p><p>fornecidas pelo provedor de serviço</p><p>de internet, que deve ser oficiado</p><p>pelo responsável da investigação em</p><p>curso.</p><p>— Solicito perícia na rede mundial</p><p>de computadores visando a apurar...</p><p>Justificativa: solicitação genérica,</p><p>sem delimitação do escopo do exame.</p><p>Fonte: Adaptado de Brasil (2012).</p><p>É necessário ressaltar que os quesitos apresentados no Quadro 1 não se</p><p>aplicam a todas as situações. Dessa forma, é necessário fazer a adequação</p><p>deles com base na solicitação do caso, selecionando aqueles que realmente</p><p>são pertinentes ao fato.</p><p>(Continuação)</p><p>Análise em locais de internet12</p><p>Redes sociais</p><p>Como vimos na seção anterior, os peritos costumam usar e encontrar muitas</p><p>informações pessoais facilmente disponíveis em redes sociais, como no</p><p>Facebook. Muitas dessas informações podem ser pesquisadas e acessadas</p><p>por qualquer um, sem precisar de muito conhecimento em perícia digital, uma</p><p>vez que elas ficam disponíveis abertamente para todos. Mas, ainda assim,</p><p>os peritos conseguem</p><p>obter uma quantidade significativa de informações</p><p>restritas nessas redes, como backups de páginas anteriores e comunicações</p><p>com outros usuários, diretamente do provedor da rede social.</p><p>Os peritos também costumam procurar recursos on-line em uma região</p><p>específica para buscas por evidências digitais, como vimos no caso de buscas</p><p>nas redes P2P. Em outros casos, caso se trate de um determinado criminoso</p><p>de uma região, por exemplo, os peritos podem realizar buscas em listas</p><p>telefônicas on-line, arquivos de jornais, fóruns de discussão, salas de bate-</p><p>-papo e outros recursos dedicados a essa região, para descobrir aspectos</p><p>desconhecidos das atividades on-line de uma vítima conhecida, o que pode</p><p>levar à identidade desse criminoso até então desconhecido. Nesses casos, os</p><p>peritos também costumam utilizar mecanismos de busca que se concentram</p><p>em um determinado país, como o Google, que costuma ser útil para uma</p><p>busca com alvo geográfico.</p><p>Além disso, durante a investigação, é comum que peritos façam buscas</p><p>sobre interesses não muito comuns em áreas da internet que a vítima ou o</p><p>suspeito costumava frequentar, a partir de pistas adquiridas em entrevistas,</p><p>análises em computadores e afins. O suspeito ou a vítima pode ter deixado</p><p>vestígios nessas áreas quando realizou atividades, e isso pode ajudar na</p><p>investigação — por exemplo, na identificação de conexão entre vítima e</p><p>agressor, ao perceber que eles se comunicaram em área pública na internet.</p><p>Além desses vestígios de atividades que permanecem na internet, as teste-</p><p>munhas on-line que usaram as mesmas áreas podem ter logs das atividades</p><p>em seus computadores.</p><p>Vale ressaltar que essas estratégias de buscas podem e devem ser usa-</p><p>das de forma combinada, para que o máximo possível de informações seja</p><p>localizado. Além do mais, todo e qualquer resultado importante encontrado</p><p>deve ser documentado pelos peritos, apresentando quando, como e onde</p><p>foi encontrado. Nesse sentido, notas escritas à mão, histórico de navegador,</p><p>capturas de tela e cópias de páginas web são frequentemente usados nessa</p><p>documentação.</p><p>Análise em locais de internet 13</p><p>Redes de bate-papo síncronas</p><p>Apesar de não ser muito fácil rastrear quando se trata de IRC, como visto</p><p>anteriormente, felizmente, para os peritos de evidências digitais, os restos das</p><p>sessões de IRC às vezes podem ser recuperados. Além disso, alguns criminosos</p><p>mantêm registros pessoais das comunicações diretas e privadas que têm no IRC.</p><p>Redes P2P</p><p>Redes desse tipo mais recentes estão implementando o recurso de baixar</p><p>partes de um arquivo de várias fontes. Esse recurso de fragmentação não</p><p>oculta as fontes dos fragmentos de arquivo, mas dificulta para os peritos</p><p>de evidências digitais recuperarem arquivos completos do tráfego de rede.</p><p>Existem algumas aplicações que ajudam os peritos a extraírem informações</p><p>de computadores usados para trocar arquivos, como nomes de arquivos,</p><p>horários e endereços IP.</p><p>Um exemplo disso é o KaZAlyser8, que é útil para extrair informações de</p><p>quem trocou arquivos por meio do KaZaA. A aplicação KaZaA tem um recurso</p><p>que pode ser benéfico do ponto de vista investigativo, já que, sempre que</p><p>possível, ela obtém arquivos de pares na mesma região geográfica. Dessa</p><p>forma, se os peritos encontrarem um sistema com materiais ilegais, há uma</p><p>boa chance de que ele esteja próximo.</p><p>Mundos virtuais</p><p>Há algumas ferramentas disponíveis para ajudar peritos a adquirir informa-</p><p>ções desses mundos virtuais, ajudando a buscar por uma pessoa ou coisa</p><p>específica. Um exemplo disso é o mecanismo de busca Metaverse Ink. Infe-</p><p>lizmente, pode ser extremamente difícil rastrear alguém que está por trás</p><p>de um avatar específico ou uma atividade em mundos virtuais, tornando-os</p><p>um local eficaz para atividades criminosas.</p><p>Grupos de notícias</p><p>Assim como no e-mail, as mensagens trocadas têm cabeçalhos contendo in-</p><p>formações sobre o remetente e todo o caminho percorrido pela mensagem. No</p><p>entanto, o formato desses cabeçalhos é um pouco diferente do e-mail. Assim</p><p>como no e-mail, o cabeçalho pode ser alterado com a intenção de dificultar</p><p>que o remetente seja identificado. Com treinamento e prática, os peritos</p><p>aprendem a extrair uma grande quantidade de informações nesse contexto.</p><p>Análise em locais de internet14</p><p>Leia o artigo intitulado “Vestígios cibernéticos: dificuldades de pre-</p><p>servação das provas processuais”, de Andre Rodrigues, disponível</p><p>no site Jus.br, e saiba mais sobre as dificuldades de preservação dos vestígios</p><p>digitais.</p><p>Como foi possível observar, a internet é amplamente utilizada no mundo,</p><p>por ser uma ferramenta incrível. Mas, infelizmente, também pode ser usada</p><p>como palco para ações maliciosas, como venda de materiais ilícitos, armas e</p><p>drogas, pornografia infantil, aliciamento de menores, crimes de ódio, plane-</p><p>jamento de ataques e assim por diante. Assim, a busca por evidências digitais</p><p>deixadas pelas atividades realizadas em serviços da internet — já que elas</p><p>costumam deixar vestígios — é normalmente um componente crucial das</p><p>investigações da perícia digital. Esses vestígios deixados podem fornecer</p><p>informações úteis para o perito, enquanto ele examina as informações do</p><p>suspeito. Dessa forma, é preciso entender como criminosos costumam agir</p><p>nos principais serviços da internet e saber como buscar e analisar os vestígios</p><p>encontrados, de forma que a investigação ocorra com sucesso.</p><p>Referências</p><p>BRASIL. Instituto Nacional de Criminalística. Departamento de Polícia Federal. Manual</p><p>de orientação de quesitos da perícia criminal. Brasília: Diretoria Técnico Científica,</p><p>2012. Disponível em: http://www.mpce.mp.br/wp-content/uploads/2016/03/Manual-</p><p>-de-orienta%C3%A7%C3%A3o-de-quesitos-da-per%C3%ADcia-criminal.pdf. Acesso</p><p>em: 20 ago. 2021.</p><p>CASEY, E. Digital evidence and computer crime: forensic science, computers, and the</p><p>internet. Cambridge: Academic Press, 2018.</p><p>DANIEL, Larry; DANIEL, Lars. Digital forensics for legal professionals: understanding</p><p>digital evidence from the warrant to the courtroom. New York: Elsevier, 2011.</p><p>MALLMITH, D. de M. Local de crime. 3. ed. Porto Alegre: Luzes, 2007.</p><p>NALAWADE, A.; BHARNE, S.; MANE, V. Forensic analysis and evidence collection for</p><p>web browser activity. In: INTERNATIONAL CONFERENCE ON AUTOMATIC CONTROL AND</p><p>DYNAMIC OPTIMIZATION TECHNIQUES (ICACDOT), 2016. India: IEEE, 2016. doi:10.1109/</p><p>icacdot.2016.7877639</p><p>RODRIGUES, A. Vestígios cibernéticos: dificuldades de preservação das provas pro-</p><p>cessuais. [S. l.: s. n.], 2017. Disponível em: https://jus.com.br/artigos/56645/vestigios-</p><p>-ciberneticos-dificuldades-de-preservacao-das-provas-processuais. Acesso em:</p><p>20 ago. 2021.</p><p>Análise em locais de internet 15</p><p>Leituras recomendadas</p><p>AKBAL, E.; GÜNES, F.; AKBAL, A. Digital forensic analyses of web browser records.</p><p>Journal of Software, v. 11, n. 7, p. 631–637, 2016. Disponível em: http://www.jsoftware.</p><p>us/vol11/170-CS019.pdf. Acesso em: 20 ago. 2021.</p><p>JONES, R. Internet forensics: using digital evidence to solve computer crime. Sebastopol:</p><p>O'Reilly Media, 2005.</p><p>SON, J. Social network forensics: evidence extraction tool capabilities. 2012. Thesis</p><p>(Doctoral)- Auckland University of Technology, Auckland, 2012. Disponível em: https://</p><p>core.ac.uk/download/pdf/56363107.pdf. Acesso em: 20 ago. 2021.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise em locais de internet16</p><p>Dica do professor</p><p>Nas últimas décadas, o e-mail tem sido uma das principais fontes de inúmeras atividades criminosas</p><p>na internet. Além disso, é o principal transportador de spam e de conteúdos maliciosos pela rede.</p><p>Nesse caso, a análise forense busca reter e analisar determinados e-mails</p><p>para</p><p>extrema importância</p><p>que as provas coletadas sejam devidamente preservadas e isoladas, para que</p><p>não se tornem imprestáveis em razão do incorreto manuseio pelas pessoas que</p><p>não têm conhecimentos técnicos específicos para lidar com a prova em si. Isso</p><p>significa que, em caso de equipamentos eletrônicos apreendidos, é importante</p><p>que eles sejam manuseados apenas pelo próprio perito técnico, pois só ele terá</p><p>o conhecimento específico para fazer o correto manuseio e a preservação das</p><p>provas coletadas.</p><p>Introdução à computação forense6</p><p>Após a análise dos dados, eles serão apresentados em um laudo pericial</p><p>técnico que, conforme Tolentino, Silva e Mello (2011, p. 34), conterá “[...] os</p><p>fatos, as evidências, os procedimentos, as análises e, obviamente, o resultado”.</p><p>Objetos da perícia computacional</p><p>Por causa da grande evolução da tecnologia, atualmente existem diversos</p><p>equipamentos com acesso à rede mundial da internet, como smartphones,</p><p>tablets, relógios, etc. Além disso, há os computadores domésticos e empre-</p><p>sariais, que podem ser notebooks ou CPUs de grande porte. Todos esses</p><p>equipamentos estão sujeitos à perícia computacional. Contudo, antes de</p><p>fazer a análise técnica nos diferentes objetos, é preciso que o perito analise</p><p>o local do crime onde os equipamentos foram encontrados, para analisar o</p><p>contexto externo em que o objeto está inserido.</p><p>O local do crime é o lugar onde provavelmente a infração penal ocorreu.</p><p>Segundo Eleutério e Machado (2019), nesse local é possível achar diversos</p><p>elementos importantes para a investigação do crime. Tais elementos podem</p><p>esclarecer quem foi o responsável pelo crime, como a dinâmica criminal</p><p>ocorreu e como se deu a materialidade do delito. De acordo com os autores,</p><p>um local de crime de informática trata-se apenas de um local de crime con-</p><p>vencional onde são encontrados equipamentos computacionais que podem</p><p>ter envolvimento com a infração penal cometida. Tal hipótese também pode</p><p>ocorrer em casos de mandados de busca e apreensão que envolvem objetos</p><p>computacionais.</p><p>Costa e Garcia (2014) afirmam que, exceto nos casos de flagrante delito,</p><p>é possível que as conexões de rede sejam interrompidas e que a fonte de</p><p>energia dos equipamentos encontrados seja retirada, desde que o perito tenha</p><p>certeza de que isso não vai causar qualquer perda de vestígios. Nos casos</p><p>em que os computadores ligados forem encontrados, também se recomenda</p><p>que a sua memória RAM seja copiada antes de desligá-los.</p><p>Ainda assim, Costa e Garcia (2014) determinam que a verificação nos dis-</p><p>positivos computacionais deve ser realizada por profissionais especializados,</p><p>para que o seu conteúdo não sofra modificações. É necessário o auxílio de</p><p>softwares e equipamentos forenses, que funcionam da seguinte maneira:</p><p>Introdução à computação forense 7</p><p>Sistemas operacionais forenses, quando gravados em um CD/DVD, são capazes</p><p>de inicializar os computadores (boot13), disponibilizando acesso somente leitura</p><p>(ready-only) para que os discos rígidos possam ser inspecionados. [...] Hardwares</p><p>forenses são equipamentos criados especificamente para a realização de cópias</p><p>de diversos tipos de mídias, sempre garantindo que o conteúdo da mídia a ser</p><p>copiada não seja alterado. [...] Se caso o perito não estiver preparado para utilizar</p><p>tais procedimentos forenses, o melhor a fazer é coletar tais equipamentos para</p><p>serem examinados posteriormente em laboratório. Assim como no cumprimento</p><p>de mandados e busca, tais apreensões deverão ser realizadas somente se exis-</p><p>tirem suspeitas de que esses dispositivos contenham evidências necessárias à</p><p>investigação. Após realizar tais providências, devem ser coletados os equipa-</p><p>mentos computacionais que possam conter as evidências desejadas, realizando</p><p>o acondicionamento de forma correta e cuidadosa (COSTA; GARCIA, 2014, p. 10).</p><p>Após a análise correta do local do crime, o perito deve fazer o correto</p><p>manuseio e armazenagem dos equipamentos apreendidos, para que a sua</p><p>análise seja feita adequadamente, a fim de encontrar possíveis provas. Por</p><p>isso, é necessário saber os diferentes dispositivos computacionais que podem</p><p>ser encontrados nesses locais.</p><p>Identificação dos dispositivos encontrados</p><p>na perícia computacional</p><p>Eleutério e Machado (2019) apresentam uma lista de equipamentos computa-</p><p>cionais que normalmente são encontrados em locais de crimes e em buscas</p><p>e apreensões. Segundo os autores, é importante que o perito conheça os</p><p>dispositivos visualmente para que ele possa identificá-los e preservá-los</p><p>adequadamente.</p><p>Os computadores pessoais são os principais equipamentos encontrados</p><p>em locais de crime ou resultados de busca e apreensão. Segundo Eleutério</p><p>e Machado (2019), um computador pessoal, normalmente, é composto por</p><p>gabinete, monitor, teclado e mouse. Porém, em certos casos, é possível que</p><p>ele também tenha câmeras de webcam, caixas de som, impressoras, scanners</p><p>e estabilizadores de energia.</p><p>O gabinete é o elemento central do computador, pois nele estão presentes</p><p>as informações e os dados necessários para a coleta de provas úteis ao pro-</p><p>cesso investigativo. Conforme Eleutério e Machado (2019, p. 30), o interior dos</p><p>gabinetes é composto por “[...] placa-mãe, processador, memórias RAM, fonte</p><p>de alimentação de energia, placas de expansão (som, rede e vídeo e outras),</p><p>drives de CD, DVD e disquetes, além, principalmente, dos discos rígidos”. Após a</p><p>abertura do gabinete, é preciso coletar o disco rígido, o componente responsável</p><p>pelo armazenamento das informações e dos dados do equipamento.</p><p>Introdução à computação forense8</p><p>Os notebooks têm a mesma finalidade e usabilidade de um computador</p><p>pessoal, mas eles foram construídos para serem menores, leves e portáteis.</p><p>Assim como os computadores pessoais, os notebooks também são compostos</p><p>por disco rígido, drivers, pentes de memória, monitor, partes de som, web-</p><p>cam, mouse e teclados, todos conectados em um único dispositivo. Contudo,</p><p>ao contrário dos computadores pessoais, Eleutério e Machado (2019, p. 33)</p><p>determinam que “[...] as placas de expansão dos notebooks são diferentes</p><p>e têm a interface de conexão do tipo PCMCIA (Personal Computer Memory</p><p>Card Internacional Association) ou PC Card”, que não armazenam dados dos</p><p>seus usuários, pois normalmente são placas utilizadas para a conexão de</p><p>rede, modems, etc.</p><p>Os servidores são super máquinas de grande tamanho, cuja capacidade</p><p>de processamento é muito maior do que a de um computador pessoal, de-</p><p>vendo ficar ligados por 24 horas por dia. Esses servidores normalmente são</p><p>utilizados em grandes empresas e responsáveis por processar todos os dados</p><p>e informações de toda a rede dentro da empresa. Os servidores são como</p><p>os mainframes, que também são computadores de grande porte usados por</p><p>empresas e que precisam de uma alta capacidade para processamento e</p><p>armazenamento de dados. Além disso, os mainframes, precisam ficar dis-</p><p>postos em um local especial para o seu funcionamento. Eles demandam uma</p><p>refrigeração especial, para que a máquina não superaqueça.</p><p>Outro importante dispositivo computacional objeto de perícia é o apare-</p><p>lho celular ou tablets. Por causa de sua facilidade de manuseio, eles podem</p><p>ser levados a qualquer lugar a qualquer momento. Além disso, Eleutério</p><p>e Machado (2019) apontam que, atualmente, os celulares estão cada vez</p><p>mais desempenhando funções de computadores, podendo ser considerados</p><p>minicomputadores.</p><p>Eleutério e Machado (2019) elencam mais alguns dispositivos informatiza-</p><p>dos que também são objetos de perícia computacional, como os dispositivos</p><p>de armazenamento portátil (cartões de memória, discos rígidos, pen drives),</p><p>os elementos de rede, que intermediam a conexão com a internet (hubs,</p><p>modems, roteadores), os estabilizadores, utilizados para impedir que os</p><p>equipamentos conectados a eles tenham uma variação de tensão abrupta,</p><p>e os no-breaks, usados para impedir interrupções no fornecimento de energia</p><p>elétrica nos dispositivos conectados a eles.</p><p>Introdução à computação forense 9</p><p>Análise</p><p>investigar fraudes, usuários mal-intencionados e assim por diante.</p><p>Nesta Dica do Professor, você vai conhecer algumas ferramentas</p><p>que apoiam a análise forense em correios eletrônicos.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/d820f606775828375351238e7740057f</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Desafios do Direito na era da internet: uma breve análise sobre</p><p>os crimes cibernéticos</p><p>A autora Fabiane Marra apresenta um estudo sobre o desenvolvimento da sociedade sob o viés</p><p>tecnológico e emparelhado com o Direito, especialmente quanto às disposições penais materiais e</p><p>processuais aplicáveis ou não em casos de crimes praticados atrás das telas dos aparelhos</p><p>informáticos.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Ferramentas baseadas em software livre para análise forense</p><p>computacional</p><p>O autor Wagner Sonáglio apresenta dados referentes às legislações relacionadas à perícia forense</p><p>computacional no Exército Brasileiro. Nesse estudo, foi aplicada uma análise dos principais sistemas</p><p>e ferramentas baseadas em software livre para análise forense computacional, a fim de coletar e</p><p>analisar vestígios.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Crimes eleitorais cibernéticos nas campanhas eleitorais pela</p><p>internet</p><p>O autor Paulo Quintiliano aborda várias questões relacionadas ao Direito Cibernético e as suas</p><p>conexões com o Direito Eleitoral, incluindo as fake news e os crimes eleitorais praticados por meio</p><p>da internet. Nesse contexto, as provas digitais e as investigações cibernéticas são abordadas, com a</p><p>http://fasb.edu.br/revista/index.php/campojuridico/article/download/289/456</p><p>https://bdex.eb.mil.br/jspui/bitstream/123456789/3666/1/TCC_Vers%C3%A3o_Final.pdf?v=918213335</p><p>apresentação de técnicas para identificação e localização de responsáveis por publicações</p><p>apócrifas, com conteúdo ofensivo, podendo ser criminoso.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Policial civil em foco: como é feita a investigação de crimes</p><p>cibernéticos por policiais civis do Distrito Federal</p><p>Neste vídeo, policiais contam como identificam crimes cibernéticos e como é feita a investigação.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Análise forense de plataformas digitais para detecção de</p><p>notícias falsas e ataques de phishing mediante decomposição de</p><p>textos</p><p>Este estudo descreve uma abordagem híbrida para identificar notícias falsas mediante a</p><p>decomposição de textos e imagens associados a uma publicação, baseando-se em representações</p><p>de baixa dimensão multilíngues, para textos curtos e longos, a fim de capturar informações</p><p>semânticas.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>http://icofcs.org/2018/ICoFCS-2018-011.pdf?v=1422015690</p><p>https://www.youtube.com/embed/oZHk9AkPi7k</p><p>http://repositorio.unicamp.br/bitstream/REPOSIP/362385/1/Schwarz_StephaneDeFreitas_M.pdf?v=1283604015</p><p>Análise em redes de computadores</p><p>Apresentação</p><p>As redes de computadores são o meio de comunicação do século XXI, e a internet é o melhor</p><p>exemplo de uma rede de computadores. Dados fluem pela internet por diversos meios, como</p><p>páginas web, e-mails, chats, redes sociais, entre outros.</p><p>A internet, como o mundo real, está cheia de ameaças, como os ataques cibernéticos, executados</p><p>por criminosos que buscam falhas (vulnerabilidades) principalmente em elementos como</p><p>roteadores e switches, explorando o tráfego de dados para coletar informações de forma mal-</p><p>intencionada.</p><p>Portanto, a probabilidade de um crime cibernético é alta tanto nas redes corporativas quanto</p><p>pessoais. Sendo assim, na ocorrência de um crime cibernético, a análise em redes de computadores</p><p>se torna necessária.</p><p>Nesta Unidade de Aprendizagem, você vai aprender a identificar os itens que podem ser periciados</p><p>numa rede de computadores, além das metodologias usadas para isso, entendendo como analisar</p><p>vestígios.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados e suas peculiaridades.•</p><p>Descrever a metodologia e as ferramentas para examinar a internet.•</p><p>Explicar a análise dos vestígios.•</p><p>Infográfico</p><p>Na metodologia da computação forense, a fase de coleta de dados se preocupa não somente em</p><p>coletar os dispositivos que contenham os dados, mas também garantir que os princípios de</p><p>integridade e autenticidade não sejam violados. Logo, ferramentas de geração de imagens ".iso" das</p><p>unidades de armazenamento são essenciais para preservar esses princípios.</p><p>Veja no Infográfico algumas ferramentas que podem ser utilizadas para gerar imagens ".iso" de</p><p>unidades de disco de armazenamento.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/074436c0-7f4b-4b95-8637-00ad6d8b39b8/5b98643a-4620-4f0e-9c08-8e46bd561bff.jpg</p><p>Conteúdo do livro</p><p>A internet é uma grande rede mundial que conecta outras redes, como aquelas pessoais ou</p><p>corporativas. Assim, uma rede se conecta a diversos dispositivos, como computadores, notebooks,</p><p>smartphones, entre outros.</p><p>As ameaças numa rede de computador exploram as vulnerabilidades nos elementos de rede ou no</p><p>dispositivo de usuários, em busca de falhas que possibilitem ações mal-intencionadas, como furto</p><p>de informações.</p><p>Diante desse cenário, e após crimes cibernéticos cometidos, a computação forense deve ser</p><p>aplicada principalmente para contextualizar e entender o crime.</p><p>No capítulo Análise em redes de computadores, base teórica desta Unidade de Aprendizagem,</p><p>identifique os elementos periciáveis de rede, entenda a metodologia e as ferramentas usadas na</p><p>análise, e também aprenda a descrever a análise de vestígio.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e as suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na in-</p><p>ternet.</p><p>> Explicar a análise dos vestígios.</p><p>Introdução</p><p>Desde os anos 1990, a internet vem se popularizando. Como todo acontecimento</p><p>disruptivo, trouxe enormes ganhos para a humanidade, mas veio acompanhada</p><p>por desafios igualmente significativos. Crimes cibernéticos e fraudes resulta-</p><p>ram da grande circulação de dados e da vulnerabilidade das redes. Quando há</p><p>grande quantidade de equipamentos conectados em uma rede local, o número</p><p>de informações circulantes permite diversas combinações, que aumentam de</p><p>maneira exponencial a fragilidade da rede. Para manter a integridade e o bom</p><p>funcionamento de uma rede local, o monitoramento via software ou aplicações</p><p>de segurança, como a criptografia, são recomendados.</p><p>Dentro das relações estabelecidas entre os dispositivos, a criptografia de</p><p>dados merece destaque. Trata-se de uma aplicação segura para a transmissão</p><p>e o armazenamento de dados, sendo considerada a arte de embaralhar uma</p><p>informação com o objetivo de manter princípios de segurança, como confidencia-</p><p>lidade e integridade de dados. Os dados são criptografados por um algoritmo com</p><p>funções matemáticas que criam funções hash (cadeia de caracteres) codificadas,</p><p>que dificultam a leitura da informação por um cibercriminoso.</p><p>Análise em redes</p><p>de computadores</p><p>Paulo Sérgio Pádua de Lacerda</p><p>Nesse contexto, a criptoanálise é utilizada pelo sujeito ativo do delito ou</p><p>criptoanalista para decifrar uma mensagem criptografada. São utilizadas di-</p><p>versas técnicas para descobrir a mensagem cifrada por meio de um algoritmo</p><p>de criptografia. De forma geral, a quebra de uma criptografia é, perante a lei,</p><p>um ato ilegal, e os cibercriminosos fazem uso dessas técnicas</p><p>com o objetivo de</p><p>um ataque cibernético.</p><p>Neste capítulo, vamos explicar qual é o propósito da criptoanálise. Além disso,</p><p>vamos descrever as ferramentas para o uso da criptoanálise e por que existe a</p><p>análise de vestígio em dados criptografados. Do ponto de vista prático, a análise</p><p>em redes de computadores se presta a analisar os pontos críticos que tornam</p><p>vulneráveis o acesso à informação e, por consequência, possíveis fraudes. Além</p><p>disso, conhecer os conceitos e fundamentos mais importantes relacionados às</p><p>redes de computadores permite distinguir o que pode ser periciado e com qual</p><p>finalidade.</p><p>Redes de computadores e os seus</p><p>componentes</p><p>Uma rede de computadores é uma infraestrutura que interliga dois ou mais</p><p>computadores. No século XXI, quando se estabeleceu de maneira mais re-</p><p>conhecida a chamada Era da Internet, é possível se referir a uma rede de</p><p>computadores como algo que serve para interligar dois ou mais dispositivos</p><p>eletrônicos por um meio de comunicação. Essa comunicação pode se dar,</p><p>por exemplo, por fio, ondas ou energia elétrica. Assim, uma rede de computa-</p><p>dores é composta não somente de dispositivos físicos, como computadores,</p><p>tablets e smartphones, mas também de protocolos de comunicação e servi-</p><p>ços a eles associados. Quando há meios físicos associados, a informação é</p><p>transmitida por eles (COMER, 2016).</p><p>Os sistemas de computadores, como a internet, por exemplo, são formados</p><p>por computadores e dispositivos em rede. O compartilhamento e o fluxo</p><p>de informações fazem com que exista uma enorme mobilidade de dados e</p><p>informações entre lugares distantes em um período menor que segundos.</p><p>A conexão formada pelas redes ultrapassa qualquer território, de modo que</p><p>mapear o fluxo da informação desde a origem até o final se torna um desafio.</p><p>Quanto ao conteúdo, há alguns métodos de análise e perícia que possibilitam</p><p>a obtenção dessas informações de forma parcial ou total.</p><p>Análise em redes de computadores2</p><p>Essa rede única permite que os dispositivos conectados acessem os</p><p>serviços de rede por meio da internet. Além disso, possibilita que</p><p>princípios como compartilhamento e interatividade utilizados pelas aplicações</p><p>como redes sociais, e-mails e jogos on-line possam ser executados e usados</p><p>pelos usuários conectados à rede.</p><p>O crescimento das redes de computadores aconteceu, principalmente,</p><p>no final da década de 1980, com o surgimento da internet, e acompanhou as</p><p>necessidades diárias dos usuários. Hoje, diversos serviços são ofertados via</p><p>internet, pela grande rede de computadores mundial. Por meio desses ser-</p><p>viços, os usuários pagam contas, fazem compras, compartilham informações</p><p>e visualizam notícias (COMER, 2016).</p><p>Uma rede de computadores é, porém, algo complexo, englobando diversos</p><p>assuntos associados à computação, como protocolos, dispositivo eletrônicos e</p><p>serviços. Com o objetivo reduzir a complexidade, facilitar os estudos, acelerar</p><p>a evolução, padronizar interfaces e garantir a interoperabilidade, além da</p><p>engenharia modular, a International Organization for Standardization (ISO)</p><p>criou um modelo de camadas conhecidos como modelo OSI (open systems</p><p>interconnection) (COMER, 2016). Esse modelo é composto de sete camadas</p><p>que definem os protocolos de atuação, bem como serviços ou dispositivos.</p><p>O modelo de sete camadas é representado no Quadro 1.</p><p>Quadro 1. As sete camadas do modelo OSI</p><p>Número da</p><p>camada</p><p>Nome da</p><p>camada</p><p>Encapsulamento/</p><p>protocol data</p><p>unit (PDU)</p><p>Descrição dos itens</p><p>da camada</p><p>7 Aplicação Data Camada de usuário, onde</p><p>os serviços de rede são</p><p>oferecidos ao usuário.</p><p>6 Apresen-</p><p>tação</p><p>Data Camada responsável</p><p>pela representação de</p><p>dados, criptografia,</p><p>descriptografia, compressão</p><p>e descompressão de dados.</p><p>(Continua)</p><p>Análise em redes de computadores 3</p><p>Número da</p><p>camada</p><p>Nome da</p><p>camada</p><p>Encapsulamento/</p><p>protocol data</p><p>unit (PDU)</p><p>Descrição dos itens</p><p>da camada</p><p>5 Sessão Data Estabelece, gerencia e</p><p>encerra sessões. Mantém</p><p>sessões de comunicação</p><p>entre aplicativos da camada</p><p>host.</p><p>4 Transporte Segmento Fornece uma entrega</p><p>confiável de segmentos</p><p>entre pontos em uma rede.</p><p>Fornece, ponta a ponta,</p><p>transporte confiável,</p><p>verificação de erros e</p><p>controle de fluxo.</p><p>3 Rede Pacote Fornece conectividade e</p><p>seleção de caminho com</p><p>base em endereços IP</p><p>(internet protocol). Fornece</p><p>endereçamento, roteamento</p><p>e entrega de pacotes entre</p><p>pontos em uma rede.</p><p>2 Enlace Frame Fornece uma conexão de</p><p>dados ponto a ponto direta</p><p>confiável. Fornece acesso</p><p>à mídia e endereçamento</p><p>com base em endereços</p><p>MAC (media access control)</p><p>físicos.</p><p>1 Física Sinal (bits) Converte os dados no</p><p>fluxo de pulsos elétricos</p><p>ou analógicos que vai</p><p>realmente cruzar a</p><p>transmissão médium e</p><p>supervisiona a transmissão</p><p>dos dados.</p><p>Note que os dados são encapsulados de forma diferentes, dependendo da</p><p>camada. Nas camadas 7, 6 e 5, os dados são conhecidos como data (dados).</p><p>Porém, na camada de transporte, os dados são divididos em pequenas partes,</p><p>conhecidas como segmentos. Na camada de rede, os dados são encapsulados</p><p>(Continuação)</p><p>Análise em redes de computadores4</p><p>em forma de pacotes. Viram frames (quadros) na camada de enlace e, por</p><p>fim, são transmitidos em forma de sinal (bits) por meio do meio físico (cabo,</p><p>onda, energia elétrica).</p><p>Antes, a internet era usada somente para fins de pesquisa pelas universi-</p><p>dades americanas e pelo departamento de defesa dos Estados Unidos. Nesse</p><p>cenário, o modelo OSI era compatível com a rede. Entretanto, com o surgimento</p><p>da internet comercial no fim da década de 1980, houve uma necessidade de</p><p>uma adequação do modelo de camadas OSI para um modelo mais adequado</p><p>à internet. Então, surgiu o modelo de camadas TCP/IP (transmission control</p><p>protocol/internetworking protocol) (TANENBAUM; WETHERALL, 2011). Esse mo-</p><p>delo é composto de somente quatro camadas, conforme descrito no Quadro 2.</p><p>Quadro 2. As quatro camadas do modelo TCP/IP</p><p>Número da</p><p>camada</p><p>Nome da</p><p>camada</p><p>Encapsulamento/</p><p>protocol data</p><p>unit (PDU)</p><p>Descrição dos itens</p><p>da camada</p><p>4 Aplicação Data Fornece serviços ao</p><p>usuário, como e-mail</p><p>eletrônico, transferência</p><p>de arquivos e login</p><p>remoto.</p><p>3 Transporte Segmento Fornece a entrega de</p><p>uma mensagem de um</p><p>programa/aplicativo em</p><p>execução no hospedeiro</p><p>para outro.</p><p>2 Rede</p><p>(internet)</p><p>Pacote Proporciona a entrega de</p><p>pacotes do host de origem</p><p>para o host de destino.</p><p>1 Enlace e</p><p>física</p><p>Frame/bits Fornece uma interface</p><p>com o físico da rede.</p><p>Formata os dados para</p><p>o meio de transmissão e</p><p>endereços dados para a</p><p>sub-rede com base em</p><p>dados físicos e endereços</p><p>de hardware. Fornece</p><p>erro de controle de dados</p><p>entregues na rede física.</p><p>Análise em redes de computadores 5</p><p>Observe, no Quadro 2, que o modelo TCP/IP de camadas oferece uma</p><p>compatibilidade com o modelo OSI. A camada de aplicação basicamente</p><p>engloba as camadas 7, 6 e 5 do modelo OSI, e a camada 1 engloba as camadas</p><p>1 e 2 do modelo OSI. Já as camadas 3 e 4 são equivalentes nos dois modelos.</p><p>Cada camada do modelo OSI compreende uma série de protocolos, serviços</p><p>e dispositivos. Cada camada tem a sua própria função e sempre se relaciona</p><p>com a camada adjacente. Por exemplo, no modelo OSI, a camada 7 somente</p><p>se relaciona com a camada 6, mas a camada 6 se relaciona com a camada 5 e</p><p>7. Já a camada 1 somente se relaciona com camada 2 e assim sucessivamente</p><p>para todas as camadas de ambos os modelos.</p><p>Agora, vamos diferenciar os protocolos e dispositivos associados a cada</p><p>camada. Vamos usar, como exemplo, o modelo OSI de sete camadas. Veja o</p><p>Quadro 3.</p><p>Quadro 3. Protocolos e dispositivos associados a cada camada</p><p>Número da</p><p>camada</p><p>Nome da</p><p>camada Dispositivos Protocolo</p><p>7 Aplicação Computador � Simple mail transport</p><p>protocol (SMTP)</p><p>� Terminal emulation</p><p>protocol (Telnet)</p><p>� File transfer protocol (FTP)</p><p>� HyperText transfer protocol</p><p>(HTTP)</p><p>� Post office protocol (POP)</p><p>6 Apresentação Computador � ASCII (texto)</p><p>� JPEG (imagem)</p><p>� GIF (imagem)</p><p>� MPEG (som/vídeo)</p><p>5 Sessão Computador � Session control protocol</p><p>(SPC)</p><p>� Remote procedure call</p><p>(RPC), da Unix</p><p>4 Transporte Computador � Transmission control</p><p>protocol (TCP)</p><p>� User datagram protocol</p><p>(UDP)</p><p>(Continua)</p><p>Análise em redes de computadores6</p><p>Número da</p><p>camada</p><p>Nome da</p><p>camada Dispositivos Protocolo</p><p>3 Rede Roteador/</p><p>switch</p><p>multicamada</p><p>� IP</p><p>� IPX, RIP, IGRP, OSPF</p><p>2 Enlace Switch, ponte</p><p>(bridge) e</p><p>placa de rede</p><p>� Ethernet/IEEE 802.3</p><p>(inclui fast ethernet), do</p><p>Institute of Electrical and</p><p>Electronics Engineers</p><p>(IEEE)</p><p>� 802.3z (Gigabit ethernet)</p><p>� Token ring/IEEE 802.5</p><p>� Fiber distributed data</p><p>interface (FDDI), do</p><p>American National</p><p>Standards Institute (ANSI)</p><p>� High-level data-link control</p><p>(HDLC)</p><p>� Point-to-point protocol</p><p>(PPP)</p><p>� Frame relay</p><p>1 Física Hub,</p><p>repetidor,</p><p>cabo par</p><p>trançado,</p><p>cabo coaxial,</p><p>fibra ótica,</p><p>ondas</p><p>(bluetooth,</p><p>wireless,</p><p>satélite)</p><p>e energia</p><p>elétrica</p><p>� EIA/TIA-23, da Electronic</p><p>Industry Association e</p><p>da Telecommunications</p><p>Industry Association</p><p>� EIA/TIA-449</p><p>� V.35</p><p>� 100BaseTX</p><p>� Wi-fi — IEEE 802.11b/g/n</p><p>O Quadro 3 apresenta, além dos dispositivos físicos, como computador</p><p>e roteador, alguns protocolos utilizados na comunicação entre dispositivos</p><p>na internet. Exemplos incluem o protocolo HTTP, que é usado para a navega-</p><p>ção entre páginas, e os protocolos POP e SMTP, usados para recebimento e</p><p>envio de dados por e-mail. Também contém o protocolo básico da internet,</p><p>o protocolo IP, que carrega as informações em forma de pacotes e é utilizado</p><p>pelo roteador.</p><p>(Continuação)</p><p>Análise em redes de computadores 7</p><p>Elementos auditáveis em uma rede de computadores</p><p>Antes de descrever os dispositivos que podem ser auditáveis na computação</p><p>forense, vamos explicar como funcionam os tipos de ataques que podem</p><p>acometer uma rede de computadores.</p><p>A arquitetura de interconexão de sistemas abertos (OSI) X.800 é um con-</p><p>junto de padrões relativos à segurança da informação. Esses padrões têm sido</p><p>desenvolvidos pela International Telecom Union (ITU-T), órgão responsável</p><p>pelo desenvolvimento de padrões relativos a telecomunicações, com o pa-</p><p>trocínio da Organização das Nações Unidos (ONU). Os padrões se referem a</p><p>ataques de segurança e a mecanismos e serviços de segurança (ASSOCIAÇÃO</p><p>BRASILEIRA DE NORMAS TÉCNICAS, 2013).</p><p>As ameaças a uma rede de computadores podem ser divididas em duas:</p><p>ataques passivos e ataques ativos (ARAÚJO, 2020). Ataques passivos têm a</p><p>finalidade de observar ou monitorar a comunicação entre usuários de rede</p><p>de computadores. O objetivo do adversário é capturar informações ou obter o</p><p>padrão do fluxo de informações. Porém, esse tipo de ataque não faz qualquer</p><p>alteração na informação, então é mais difícil de detectar. Os ataques passivos</p><p>podem ser divididos nos dois tipos a seguir descritos.</p><p>1. Divulgação não autorizada do conteúdo da mensagem: nesse caso,</p><p>o cibercriminoso pode capturar o texto cifrado e tentar decifrá-la por</p><p>força bruta ou por sofisticadas técnicas de criptoanálise.</p><p>2. Análise do padrão de tráfego: nesse ataque passivo, o cibercriminoso</p><p>tem o objetivo de identificar o padrão de tráfego, como a frequência</p><p>e o comprimento das mensagens sendo transmitidas.</p><p>Por sua vez, os ataques ativos, diferentemente dos ataques passivos,</p><p>alteram o fluxo da informação e o seu conteúdo, e criam novos fluxos. Esses</p><p>tipos de ataques podem ser divididos da seguinte forma.</p><p>� Masquerade (disfarce): nesse tipo de ataque, uma entidade C (compu-</p><p>tador, por exemplo) passa por uma entidade A durante a comunicação</p><p>entre a entidade A e a entidade B. Nesse caso, C consegue capturar</p><p>as sequências de autenticação de A e envia mensagens para B como</p><p>se fosse a entidade A.</p><p>� Replay (replicação): esse tipo de ataque envolve uma captura de um</p><p>pacote de dados e a retransmissão, produzindo um efeito não auto-</p><p>Análise em redes de computadores8</p><p>rizado. Assim, altera propriedades do pacote capturado, como, por</p><p>exemplo, a data do envio.</p><p>� Modificação de mensagens: envolve a captura de um fluxo de dados,</p><p>alterando-o e, em seguida, transmitindo-o ao destinatário pretendido</p><p>para produzir um efeito não autorizado. A alteração pode envolver</p><p>modificação, exclusão, anexação ou reordenação do fluxo de dados.</p><p>� Deny of service (DoS, ou negação de serviços): a ideia desse tipo de</p><p>ataque é parar serviços de rede de computadores oferecidos aos usuá-</p><p>rios, como, por exemplo, deixar inoperante um site. A ideia é saturar</p><p>os serviços com diversas mensagens de solicitações, de forma que o</p><p>servidor não consiga atender e o serviço seja paralisado. Uma evo-</p><p>lução desse serviço é o ataque DDoS (ataques de negação de serviço</p><p>distribuído).</p><p>A computação forense visa a, por meio de procedimentos, analisar e</p><p>documentar o contexto de incidente de segurança da informação (ARAÚJO,</p><p>2020). Em uma rede de computadores, alguns elementos podem ser auditáveis</p><p>por um profissional forense, como os descritos na sequência.</p><p>� O fluxo de dados da informação: profissionais forenses podem usar</p><p>ferramentas para analisar o fluxo de dados da rede de computadores e</p><p>verificar, por exemplo, se há aumento do fluxo, sinalizando um ataque</p><p>externo.</p><p>� Dispositivos de interconexão: todo dispositivo de uma rede de compu-</p><p>tadores que tem um sistema operacional, como roteadores e switches</p><p>multicamadas, pode sofrer ataques aos seus sistemas operacionais a</p><p>fim de danificar a rede de computadores.</p><p>� Pacote: os pacotes carregam a informação ao longo de uma rede de</p><p>computadores. Esses pacotes geralmente são capturados e hackeados</p><p>de forma que o seu conteúdo seja alterado com propósitos danosos</p><p>à rede de computadores ou ao sistema.</p><p>� Dispositivos finais: conhecidos como endpoints, consistem em qual-</p><p>quer dispositivo utilizado por um usuário para ter acesso à rede de</p><p>computadores, como smartphones, computadores, tablets, etc. Esses</p><p>dispositivos podem ser contaminados e, então, auditados por profis-</p><p>sionais forenses.</p><p>� Serviços: os serviços são as aplicações utilizadas pelo usuário em uma</p><p>rede de computadores, como serviços de e-mail, de navegação entre</p><p>Análise em redes de computadores 9</p><p>páginas, de autenticação de usuários, de streaming de vídeo e áudio,</p><p>etc. Esses serviços geralmente estão associados a protocolos, como, por</p><p>exemplo, o serviço de download que está associado ao protocolo FTP.</p><p>� Servidores: servidores são os computadores que oferecem serviços de</p><p>redes, como servidores de e-mail, de autenticação, de download, etc.</p><p>Há diversos outros dispositivos que também podem ser auditáveis em uma</p><p>rede de computadores, como câmera digitais, dispositivos de biometria, disco</p><p>de armazenamentos de informação (discos rígidos), etc. No entanto, devido à</p><p>complexidade de uma rede de computadores, ferramentas são necessárias</p><p>para fazer auditorias. A próxima seção apresenta ferramentas e métodos</p><p>utilizados como suporte à computação forense.</p><p>Metodologia e ferramentas da computação</p><p>forense</p><p>Nas últimas décadas, devido à importância da comunicação via internet,</p><p>a segurança da informação ganhou bastante notoriedade entre os profissionais</p><p>da computação (MARAS, 2015). A computação forense aplicada a uma rede de</p><p>computadores tem a finalidade de fazer uma análise em dados, informações</p><p>e vestígios visando a contextualizar o incidente de segurança ocorrido. Após</p><p>a análise, o profissional estará apto a apontar falhas e vulnerabilidades</p><p>que comprometem a rede e podem ser exploradas por cibercriminosos em</p><p>atividades fraudulentas e danosas.</p><p>As ameaças podem ser realizadas interna ou externamente a uma rede</p><p>de computadores. Ameaças internas ocorrem diretamente de usuários com</p><p>acesso à rede corporativa da empresa e que fazem o ataque diretamente à</p><p>rede. Já em uma ameaça externa, o cibercriminoso explora uma vulnerabilidade</p><p>da rede, mas acessando-a remotamente.</p><p>Um incidente de segurança da informação ocorre quando um dos</p><p>princípios que formam os pilares de segurança é quebrado. Os pilares</p><p>da segurança da informação são disponibilidade, integridade e confidencialidade.</p><p>Você pode encontrar dados</p><p>estatísticos de incidentes reportados e divulgados</p><p>no site do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança</p><p>no Brasil (CERT.br).</p><p>Análise em redes de computadores10</p><p>Os questionamentos a seguir estão intrinsecamente relacionados ao</p><p>incidente de segurança e à computação forense (ARAÚJO, 2020).</p><p>� O que ocorreu? Esse questionamento visa a definir que tipo de ataque</p><p>ocorreu. Por exemplo, paralização do servidor via ataque de negação</p><p>de serviço.</p><p>� Por que ocorreu? O objetivo desse questionamento é identificar o</p><p>motivo que incentivou o cibercriminoso a cometer o crime.</p><p>� Quando ocorreu? Esse questionamento visa a descobrir a timeline do</p><p>incidente, ou seja, o momento que o incidente ocorreu.</p><p>� Como ocorreu? O objetivo desse questionamento é reconhecer de que</p><p>forma ocorreu o incidente.</p><p>Destes, diversos outros questionamentos podem derivar, como os listados</p><p>na sequência.</p><p>� Qual é o impacto do ataque?</p><p>� Quem foi o autor do ataque?</p><p>� Qual foi o passo a passo (lógica) do ataque?</p><p>� Qual foi o nível de acesso alcançado pelo cibercriminoso?</p><p>� Há planos de recuperação de incidentes?</p><p>� Há planos de continuidade de negócios?</p><p>Esses questionamentos fazem parte da metodologia aplicada pelo pro-</p><p>fissional forense quando um incidente de segurança da informação ocorre.</p><p>Conforme Kent et al. (2006), algumas fases são inerentes ao processo</p><p>pericial. São elas:</p><p>1. a coleta de dados;</p><p>2. a extração dos dados;</p><p>3. a identificação dos dados;</p><p>4. a apresentação das evidências.</p><p>Na fase de coleta de dados, o profissional recolhe todos os dispositivos que</p><p>podem ser fonte de dados, como computadores, smartphones, equipamentos</p><p>de rede, dispositivos de armazenamento, servidores, etc. A ideia é coletar os</p><p>dispositivos que podem conter evidências de digitais e, ao mesmo tempo,</p><p>preservar a integridade dos dados. Essa fase ocorre logo após a detecção</p><p>do incidente de segurança.</p><p>Análise em redes de computadores 11</p><p>Extração dos dados é fase da perícia que visa a extrair o conteúdo da</p><p>informação, mas sempre preservando a integridade do material coletado.</p><p>Geralmente, cópias forenses são realizadas como forma de preservar as</p><p>fontes originais. À extração, segue-se a identificação dos dados, cuja finali-</p><p>dade é fazer uma análise dos dados extraídos. Trata-se da etapa em que são</p><p>identificados as pessoas, os locais e os eventos, reconstruindo-se a cena.</p><p>O objetivo é gerar conclusões ou respostas úteis aos questionamentos das</p><p>etapas anteriores. O resultado dessa fase é a determinação das raízes do</p><p>incidente.</p><p>Na última fase, a apresentação das evidências, o profissional forense</p><p>elabora um relatório documentando apresentando os resultados obtidos</p><p>nas fases anteriores. Nessa fase, são elaborados documentos que detalham</p><p>minuciosamente todo o processo das fases anteriores. Um laudo é elaborado</p><p>a fim de traduzir e formalizar as impressões compreendidas e captadas pelo</p><p>profissional sobre o crime cibernético ocorrido.</p><p>Há, basicamente, dois tipos de metodologias:</p><p>1. a análise post-mortem, que é realizada em dados não voláteis, ou seja,</p><p>dados que estão armazenados em mídias fixas, como discos rígidos,</p><p>compact disk, pendrivers, etc., que ficam armazenados mesmo após</p><p>o desligamento do dispositivo;</p><p>2. a análise em tempo real (live), em que os dados são analisados com</p><p>o dispositivo ligado.</p><p>Embora existam as metodologias, há diversas ferramentas úteis, conheci-</p><p>das como network forensic analysis tools (NFAT), que podem ser aplicadas em</p><p>uma análise forense em redes de computadores. As funções básicas dessas</p><p>ferramentas incluem captura de tráfego e análise do pacote capturado.</p><p>Por exemplo, sniffers são ferramentas usadas para inspecionar e capturar</p><p>dados no tráfego de uma rede de computadores. Existem diversos tipos de</p><p>ferramentas sniffers, como NetworkMiner, tcpdump e Wireshark. A Figura 1</p><p>mostra uma imagem da ferramenta Wireshark capturando o tráfego de de-</p><p>terminada rede. O tráfego é capturado via interface física (placa de rede),</p><p>wireless ou cabeada. As ferramentas sniffers são úteis para dados voláteis.</p><p>Análise em redes de computadores12</p><p>Figura 1. Ferramenta sniffer: Wireshark.</p><p>Outro exemplo são as ferramentas de dump de memória. Dump de memória</p><p>é a extração de uma imagem da memória do dispositivo, como um computador</p><p>ou tablet. Com a técnica de dump de memória, é possível verificar a relação</p><p>entre processos em execução, identificando, por exemplo, se determinado</p><p>processo foi iniciado por outro processo e quando foi iniciado. Também é</p><p>possível identificar quais portas (sockets), bibliotecas e chaves de registros</p><p>estavam sendo usadas pelos processos em execução; ou seja, consegue-se</p><p>mapear como era o funcionamento do sistema na hora do dump de memó-</p><p>ria. Ferramentas como dd, para plataforma Linux, e mdd, para plataforma</p><p>Windows, são exemplos de aplicativos usados para um dump de memória.</p><p>A Figura 2 ilustra um arquivo de despejo na plataforma Windows. Arquivos</p><p>de despejo são arquivos de dump de memória que têm extensão .dmp. No</p><p>caso da plataforma Windows, esse arquivo depende de outro aplicativo para</p><p>ser lido (dumpchk).</p><p>Análise em redes de computadores 13</p><p>Figura 2. Arquivo dump.</p><p>Observe que há uma série de informações exibidas pelo arquivo dump,</p><p>como o tipo de máquina (MachineImageType, i386), o número de processadores</p><p>(NumberProcessor, 1), a versão dos mínimos (MinorVersion, 1057), o nome do</p><p>arquivo (FileName, memory.dmp), etc.</p><p>Outros exemplos de ferramentas são listados a seguir.</p><p>� snort: ferramenta de detecção de intrusão em redes, captura e registro</p><p>(logs) de pacotes.</p><p>� nmap: ferramenta de escaneamento de portas, auditoria e exploração</p><p>de rede.</p><p>� hascalc: ferramenta para cálculo, comparação e validação de hash de</p><p>criptografia.</p><p>� dd_rescue: ferramenta de recuperação de dados em unidade de</p><p>armazenamento.</p><p>� OpenVPN: ferramenta de transferência de dados. Cria redes virtuais</p><p>privadas para transferência de arquivos.</p><p>� NTLast: ferramenta para auditoria de sistemas.</p><p>� IPTables: firewall para redes de computadores.</p><p>Análise em redes de computadores14</p><p>Há, também, ferramentas para a análise de dados, como Weka, uma ferra-</p><p>menta para a mineração de dados, e a PE tools, usada para engenharia reversa.</p><p>Engenharia reversa é o processo de analisar um programa na ten-</p><p>tativa de criar uma representação dele em um nível mais alto de</p><p>abstração do que o código-fonte. Assim, é um processo de recuperação do</p><p>projeto. As ferramentas de engenharia reversa extraem informações do projeto</p><p>de dados, da arquitetura e procedural com base em um programa existente.</p><p>Vimos, até aqui, que a computação forense estuda as características</p><p>intrínsecas associadas a incidentes ocorridos em um sistema computacional.</p><p>Também vimos que, pelo uso de metodologias e ferramentas, podem ser ge-</p><p>radas evidências que podem ser aplicadas em meios legais e judiciais. Porém,</p><p>muitas vezes vestígios são deixados pelo cibercriminosos. Esses vestígios</p><p>podem ser analisados, apoiando a identificação de evidências.</p><p>Análise de vestígios</p><p>Os vestígios são as digitais encontradas nos crimes cibernéticos. Esses ves-</p><p>tígios podem ser encontrados em unidades de armazenamento ou por meio</p><p>do tráfego da rede de computadores. Técnicas e ferramentas forenses são</p><p>utilizadas com o intuito de encontrar esses vestígios e identificar evidências</p><p>de um crime cibernético.</p><p>A seguir, veremos as análises de vestígios utilizadas para desvendar crimes</p><p>cibernéticos.</p><p>Análise de vestígio em unidades de armazenamento</p><p>As unidades de armazenamento local ou na nuvem são repositórios de dados</p><p>usados para guardar informações em forma de arquivos. Na fase de coleta de</p><p>dados, algumas técnicas e ferramentas são utilizadas visando a preservar os</p><p>dados armazenados. Elas são conhecidas como técnicas de espalhamento e</p><p>imagem. Ambas as técnicas são utilizadas para duplicar fielmente uma unidade</p><p>de armazenamento preservando, por exemplo, as propriedades MACTimes</p><p>dos arquivos (ELEUTÉRIO; MACHADO,</p><p>2011).</p><p>Análise em redes de computadores 15</p><p>O espelhamento é a técnica que duplica uma unidade de armazenamento.</p><p>Para tal procedimento há necessidade da unidade espelho ser de tamanho</p><p>igual ou superior a unidade a ser espelhada, além de ser um disco totalmente</p><p>vazio, sem conteúdo. Já a técnica de imagem faz uso de um aplicativo que gera</p><p>uma imagem, ou seja, um arquivo, geralmente de extensão ‘.iso’, que contém</p><p>todas as informações da unidade de armazenamento.</p><p>Com o objetivo de manter as informações duplicadas inalteradas, algumas</p><p>ferramentas são utilizadas pelos analistas de vestígios como os bloqueadores</p><p>de escrita e duplicação forense como ICS Write Protect Card Reader utilizada</p><p>em cartões de memória e Forensic Bridge Tableau usada em discos, Symantec</p><p>Norton Ghost usado para criação de imagens ou espelhamento de discos</p><p>(ELEUTÉRIO; MACHADO, 2011).</p><p>Análise de vestígio em memórias voláteis</p><p>As memórias voláteis são as memórias que armazenam as informações so-</p><p>mente enquanto o dispositivo está ligado. Após desligar o equipamento,</p><p>o conteúdo dessa memória é perdido. Essas memórias são conhecidas como</p><p>memórias RAM (COMER, 2016). Esse tipo de coleta é realizada somente em</p><p>dados voláteis que estão armazenados em memória. Os dump de memória</p><p>realizado por aplicações como dd, para plataforma Linux, ou mdd, para plata-</p><p>forma Windows, é utilizado para analisar os possíveis vestígios deixados pelos</p><p>ataques à rede, mas, principalmente, as memórias dos servidores de rede.</p><p>Análise de vestígio em dispositivo de rede</p><p>Os dispositivos de rede podem armazenar informações importantes sobre</p><p>as ameaças externas a uma rede de computadores. Os firewalls são dispo-</p><p>sitivos de proteção, mas também criam históricos e arquivos de registros</p><p>(logs) sobre dados que por eles passam. Firewalls podem ser de dois tipos:</p><p>hardware e software. Ambos possuem arquivos de logs que registram os</p><p>eventos indesejáveis em uma rede de computadores.</p><p>Além dos firewalls, existem os sistemas de detecção de intrusão conhecidos</p><p>como IDS (intrusion detection system). Esses sistemas consistem em progra-</p><p>mas cujo objetivo é monitorar a rede em busca de alguma atividade danosa,</p><p>maliciosa, que viole as políticas de segurança (ELEUTÉRIO; MACHADO, 2011).</p><p>As informações são coletadas por meio de um sistema central de gerencia-</p><p>mento de eventos e as informações são armazenadas em forma de arquivos</p><p>de log.</p><p>Análise em redes de computadores16</p><p>Além dos firewalls e IDS, existem os IPS (intrusion prevent system), que</p><p>são reativos, ou seja, armazenam as informações de ataque, mas também</p><p>impedem que ataques possam ser realizados com base nos tipos de ameaças.</p><p>Análise de vestígio no tráfego de redes</p><p>O tráfego de rede consiste nas informações em forma de dados que são</p><p>enviadas pela rede de computadores. O tráfego da rede pode ser capturado,</p><p>e as informações capturadas podem ser analisadas em outra fase do processo</p><p>forense. Esse tráfego deve ser capturado por ferramentas como Wireshark.</p><p>Com o Wireshark, por exemplo, pode-se analisar características do pacote,</p><p>como o endereço IP de origem e destino, o tipo de protocolo utilizado, as</p><p>portas de destino e origem, entre outras informações. A ferramenta tcpdump,</p><p>assim como o Wireshark, é utilizada para a captura do tráfego de redes de</p><p>computadores (TANENBAUM; WETHERALL, 2011).</p><p>Análise de vestígio em arquivos protegidos</p><p>e apagados</p><p>Muitas vezes, os cibercriminosos criptografam os arquivos-alvo infectados</p><p>visando a dificultar as análises forenses. Por exemplo, pode-se utilizar técnicas</p><p>como RainBow Tables ou força bruta para identificar os valores de hash nos</p><p>arquivos criptografados. Já a ferramenta Ontrack Easy Recovery é usada para</p><p>recuperar arquivos apagados pelos cibercriminosos.</p><p>Paulo é o profissional responsável pelo parque tecnológico da em-</p><p>presa KA Empreendimentos Imobiliários. A empresa possui uma rede</p><p>interna composta por diversos dispositivos endpoints, como tablets, notebooks e</p><p>smartphones, dispositivos de rede, como roteadores wireless e gateways, e servi-</p><p>dores de serviços, como servidores de autenticação, de e-mails, web e de arquivos.</p><p>A infraestrutura física da rede interna sempre atendeu aos requisitos do</p><p>negócio da empresa. Entretanto, esta semana, Paulo está enfrentando um de-</p><p>safio. A rede interna está lenta, causando problemas no envio e no recebimento</p><p>de dados e no uso das aplicações desenvolvidas em plataforma web. Então,</p><p>Paulo necessita encontrar uma ferramenta de análise de rede que solucione o</p><p>problema enfrentado na comunicação dos dados, além de capacitar e realizar</p><p>otimizações na rede interna da empresa. Nesse caso, Paulo optou pelo uso da</p><p>ferramenta sniffer Wireshark. Essa ferramenta permite que ele faça uma análise</p><p>do tráfego da empresa pela captura do tráfego (dados), bem como a análise</p><p>estatística desse tráfego, e reconheça padrões da atividade da rede.</p><p>Análise em redes de computadores 17</p><p>Desse modo, Paulo fez um acompanhamento no tráfego da rede filtrando por</p><p>pacotes específicos, como TCP, SMTP e UDP, entre outros testes. Por fim, após</p><p>acompanhamento do tráfego da rede com a ferramenta Wireshark, detectou</p><p>um aumento de operações do protocolo TCP para um determinado IP interno</p><p>da rede da empresa (servidor web), caracterizando um ataque de negação de</p><p>serviços. Assim, Paulo fez as correções necessárias no firewall de entrada da em-</p><p>presa, além de uma reconfiguração no endereçamento IP de toda a organização.</p><p>Com essas medidas, a rede interna voltou ao normal e os ataques de negação</p><p>de serviços foram solucionados.</p><p>Na Era da Internet, o mundo é uma enorme rede de computadores. Assim,</p><p>a internet tem papel fundamental nos negócios empresariais e pessoais dos</p><p>usuários. Hoje, todas as aplicações dependem da conexão com a internet</p><p>para envio e recebimento de dados, bem como para compartilhamento dos</p><p>dados entre usuários conectados.</p><p>Por estarem conectadas à internet, redes de computadores pessoais ou</p><p>corporativas são passíveis de ataques de malwares, como negação de serviços.</p><p>Diante desse cenário, incidentes ocorrem, e a computação forense deve ser</p><p>aplicada para fins de elucidação dos incidentes.</p><p>No intuito de contextualizar os crimes cibernéticos, a perícia forense deve</p><p>ser realizada por profissionais com conhecimento das metodologias e técnicas</p><p>de análise dos dados em dispositivos auditáveis. Assim, a análise em redes</p><p>de computadores tem, como resultado, a materialização e documentação da</p><p>dinâmica dos delitos cometidos por cibercriminosos.</p><p>Referências</p><p>ARAÚJO, S. Computação forense. Curitiba: Contentus, 2020.</p><p>ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISSO/IEC 27037:2013: tecno-</p><p>logia da informação – técnicas de segurança – diretrizes para identificação, coleta,</p><p>aquisição e preservação de evidência digital. Rio de Janeiro: ABNT, 2013. (E-book).</p><p>COMER, D. E. Redes de computadores e internet. 6. ed. Porto Alegre: Bookman, 2016.</p><p>ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo:</p><p>Novatec, 2011.</p><p>KENT, K. et al. Guide to integrating forensic techniques into incident response: recomen-</p><p>dations of the National Institute of Standards and Technology. Gaithersburg: Nist, 2006.</p><p>MARAS, M. H. Computer forensics: cybercriminals, laws, and evidence. 2nd ed. Burlington:</p><p>Jones & Bartlett Learning, 2015.</p><p>TANENBAUM, A. S.; WETHERALL, D. Redes de computadores. 5. ed. São Paulo: Pearson,</p><p>2011.</p><p>Análise em redes de computadores18</p><p>Dica do professor</p><p>Muitas vezes é necessário analisar os sistemas infectados por ataques de malware em tempo de</p><p>execução, ou seja, com o sistema ligado. A técnica mais usada para essa análise é o dump de</p><p>memória.</p><p>Diversas ferramentas podem ser executadas para gerar um arquivo de imagem da memória de um</p><p>sistema infectado, principalmente em redes de computadores.</p><p>Conheça na Dica do Professor a ferramenta dd, utilizada na plataforma Linux para gerar arquivos</p><p>de imagem de memória.</p><p>Aponte a câmera para o código e acesse o link do conteúdo</p><p>ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/ff46ef147cc908e083b93eb7c662b422</p><p>Saiba +</p><p>Para ampliar seu conhecimento no assunto, veja a seguir as sugestões do professor:</p><p>Webinar: a importância da análise de vulnerabilidade</p><p>Erros de programação, má configuração ou falha humana por falta de orientação no uso de</p><p>recursos são alguns exemplos que podem vulnerabilizar a segurança num ambiente corporativo.</p><p>Este vídeo ilustra todas essas situações, sendo uma ótima fonte de conhecimento sobre segurança</p><p>nos equipamentos de rede.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Endereços IP: endereçamento com classe</p><p>Os dados monitorados no tráfego de rede são encapsulados na camada 3 do modelo open systems</p><p>interconnection (OSI) ou transmission control protocol (TCP) via internet protocol (IP). Por padrão,</p><p>endereços IP de 32 bits se dividem em classes. Uma leitura do Capítulo 4 da obra Protocolo TCP/IP</p><p>vai te ajudar a compreender as informações contidas nos pacotes capturados.</p><p>Conteúdo interativo disponível na plataforma de ensino!</p><p>Comandos Linux – comando tcpdump</p><p>Nos sistemas operacionais do tipo Unix, o tcpdump coleta um despejo bruto do tráfego de rede.</p><p>Neste artigo, entenda comandos com exemplos de uso da ferramenta, descrição e sintaxe.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://www.youtube.com/embed/v6gVjfvG4Dc</p><p>https://www.linuxforce.com.br/comandos-linux/comandos-linux-comando-tcpdump/?v=435649169</p><p>Análise em imagens digitais</p><p>Apresentação</p><p>A forense computacional, relativamente nova na área de forense, surgiu devido à ampliação do uso</p><p>de dispositivos digitais. A tecnologia dos smartphones trouxe, de certa forma, o computador para as</p><p>mãos das pessoas, o que fez o acesso às facilidades digitais aumentar ainda mais. Contudo, com</p><p>a ampliação do acesso à tecnologia, surgiram os crimes digitais, assim como os crimes normais</p><p>foram facilitados, devido ao uso de dispositivos digitais e da internet. Com o aumento dos crimes</p><p>digitais, houve a necessidade de se investigar esse meio, assim como um perito analisa o local de</p><p>um crime físico.</p><p>Uma das formas de se cometer crimes digitais é por meio da alteração de imagens, ou montagem, a</p><p>fim de fazer a imagem parecer praticamente real, confundindo a mente do usuário. Há também</p><p>formas de adicionar códigos-fonte para baixar programas ou arquivos maliciosos para os</p><p>computadores sem que o usuário saiba. Além disso, há diversas outras formas de se cometer crimes</p><p>utilizando imagens para enganar sistemas de segurança e usuários.</p><p>Nesta Unidade de Aprendizagem, você vai estudar a análise de imagens digitais. Além disso, vai</p><p>conferir como verificar imagens e identificar informações camufladas ou possíveis alterações. Por</p><p>fim, você vai conferir o uso de metodologias e ferramentas para a realização de exames e a análise</p><p>dos vestígios deixados pelos invasores.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados e suas peculiaridades.•</p><p>Descrever a metodologia e as ferramentas para realizar os exames na internet.•</p><p>Explicar a análise dos vestígios.•</p><p>Infográfico</p><p>O uso de imagens falsas como montagens ou utilizadas fora de contexto ajudaram a</p><p>disseminar desinformação. Em muitos casos, a imagem, junto à notícia, parece tão real que</p><p>engana muitas pessoas, ainda mais quando estas não costumam pesquisar informações em fontes</p><p>confiáveis.</p><p>Quando as imagens podem ser adulteradas, é mais difícil saber se são realmente reais ou não. Em</p><p>muitas casos, faz-se necessário que um especialista analise a imagem para, então, emitir o parecer</p><p>de se é falsa ou real. Assim, a análise de imagens tem se tornado cada vez mais importante nesse</p><p>cenário caótico da desinformação.</p><p>Neste Infográfico, confira as dez imagens falsas ou utilizadas fora de contexto mais disseminadas</p><p>em grupos de WhatsApp, a fim de entender a importância de haver um profissional que consiga</p><p>fazer esse tipo de análise.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/befdd127-226f-471b-a905-569b715c5de1/7f276bff-0ad8-417f-9cfb-fbd4174603dd.jpg</p><p>Conteúdo do livro</p><p>Com a evolução da tecnologia, o mundo tornou-se dependente do digital. Inicialmente,</p><p>a comunicação era realizada apenas de modo oral ou via cartas, por exemplo, assim como os dados</p><p>eram todos armazenados fisicamente. Atualmente, no entanto, os meios tecnológicos são utilizados</p><p>para qualquer forma de comunicação, como redes sociais e e-mail, além de para o armazenamento</p><p>digital das informações, seja de modo local ou na nuvem.</p><p>Com isso, as câmeras digitais também se desenvolveram rapidamente, sendo encontradas em</p><p>dispositivos como smartphones e câmeras de monitoramento. Dessa forma, as mídias visuais digitais</p><p>representam um dos principais meios de comunicação.</p><p>Diante dessas informações, é correto afirmar que as criminosos também migraram para os meios</p><p>digitais, sendo os cibercrimes cada vez mais frequentes e sofisticados. Hoje, existem poderosos</p><p>editores de imagem que podem ser utilizados para manipular imagens digitais, com o intuito de</p><p>alterar possíveis evidências de um crime. Nesse contexto, a forense computacional é fundamental</p><p>para desvendar possíveis modificações de imagens.</p><p>No capítulo Análise em imagens digitais, base teórica desta Unidade de Aprendizagem, você vai</p><p>estudar a análise forense de imagens digitais, bem como os itens que são periciados. Além disso, vai</p><p>conhecer as metodologias e ferramentas utilizadas para analisar e examinar os vestígios</p><p>encontrados em imagens digitais.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na in-</p><p>ternet.</p><p>> Explicar a análise dos vestígios.</p><p>Introdução</p><p>Na era digital em que estamos vivendo, as câmeras digitais se tornaram muito</p><p>populares, tanto que é possível encontrá-las em uma variedade de dispositivos</p><p>como smartphones e câmeras de monitoramento, por exemplo. Juntamente a</p><p>isso, os softwares de edição de imagem também evoluíram muito e estão a cada</p><p>dia mais poderosos, sendo muito facilitado o acesso a edições e alterações das</p><p>imagens originais. Dessa forma, a confiabilidade da informação visual pode ser</p><p>facilmente questionada, o que torna a perícia de imagem digital indispensável</p><p>para a validação de autenticidade de imagens durante um processo em que elas</p><p>sejam relevantes.</p><p>Neste capítulo, você vai estudar a análise de imagens digitais e os itens que</p><p>podem ser periciados e conhecer as metodologias e ferramentas que podem ser</p><p>utilizadas para exames e análises de vestígios deixados pelos cibercriminosos.</p><p>Análise em</p><p>imagens digitais</p><p>Juliane Adelia Soares</p><p>Imagens digitais: perícia</p><p>Na ciência forense, para que sejam descobertas evidências de falsificação</p><p>e adulteração de conteúdos de imagens digitais, são aplicadas abordagens</p><p>técnicas e científicas. Os sensores digitais capturam informações do mundo</p><p>real, transformando os arquivos de imagem em dados ou informações digi-</p><p>tais, que são armazenados e processados por computadores. Dessa forma,</p><p>um especialista pode alterar ou adulterar as informações digitais muito facil-</p><p>mente, tornando a confiabilidade das informações digitais uma preocupação</p><p>(SINGH; SINGH, 2018).</p><p>Velho (2016) afirma que isso se dá devido à existente facilidade de acesso</p><p>a aplicativos especializados em edição de imagens, o que contribui para que</p><p>seja cada vez mais comum a presença de imagens adulteradas digitalmente.</p><p>O Gimp é um exemplo desses aplicativos e é disponibilizado de forma gratuita;</p><p>outro exemplo é o Adobe Photoshop, um dos mais utilizados para edições</p><p>profissionais.</p><p>Com o</p><p>crescente aumento das redes sociais (como Facebook e Instagram),</p><p>que permitem uma grande quantidade de armazenamento de imagens na</p><p>nuvem, as edições tornaram-se ainda mais populares. A busca por mostrar o</p><p>corpo perfeito, o local perfeito ou a vista perfeita leva a um grande número de</p><p>edições — utilizar imagens reais e sem alterações é que se tornou incomum.</p><p>No entanto, editar imagens também é algo comum em práticas criminosas e,</p><p>de acordo com Velho (2016), várias são as informações relevantes que podem</p><p>ser extraídas de arquivos de imagens e vídeos coletados, como, por exemplo,</p><p>ampliação de detalhes pouco visíveis, estimativa da altura de suspeitos e</p><p>realização de exame de comparação facial.</p><p>Velho (2016) afirma que a fotografia, como é conhecida, teve início</p><p>com a produção comercial do daguerreótipo, em 1839. Já os pri-</p><p>meiros registros de manipulações ocorreram por volta de 1860; uma das mais</p><p>conhecidas é a inserção da cabeça do presidente americano Abraham Lincoln no</p><p>corpo do político John Calhoun, formando um de seus retratos mais populares.</p><p>A manipulação também foi uma prática adotada por Josef Stalin, Mao Tse-Tung</p><p>e Adolf Hitler, para a retirada de seus inimigos das fotografias.</p><p>Análise em imagens digitais2</p><p>É correto afirmar que uma imagem digital é composta por pixels, que são</p><p>exibidos como uma matriz retangular, e, de acordo com Sencar e Memon (2013),</p><p>cada pixel pode ser um único valor ou um vetor de componentes. Observe</p><p>a Figura 1, que apresenta várias etapas de processamento realizadas antes</p><p>do armazenamento da imagem.</p><p>Figura 1. Pipeline de aquisição de imagem digital.</p><p>Fonte: Singh e Singh (2018, p. 940).</p><p>Aquisição</p><p>Imagem</p><p>original Lente CFA Sensor</p><p>Interpolação</p><p>Imagem</p><p>digital Armazenar</p><p>Pós-</p><p>-processamento</p><p>Processamento e armazenamento</p><p>A Figura 1 apresenta o pipeline de aquisição de uma imagem digital. A luz</p><p>entra no dispositivo de imagem através da lente, que realiza o transporte</p><p>para o sensor. No entanto, antes de chegar ao sensor, a luz é filtrada pelo</p><p>color filter array (CFA), a matriz de filtro de cor), de modo a renderizar a cor.</p><p>O CFA é um mosaico de cores específico que permite a cada pixel reunir apenas</p><p>um comprimento de onda de luz específico, ou seja, cor. Após isso, ela é pas-</p><p>sada para o sensor. O sensor é composto por uma matriz de fotodetectores,</p><p>e cada um deles corresponde a um pixel da imagem final, que transformam a</p><p>intensidade da luz de entrada em voltagem proporcional. A saída do sensor</p><p>é um mosaico de pixels dispostos em uma camada única; dessa forma, para</p><p>obter a representação necessária de três canais, ocorre a interpolação, que</p><p>faz os valores de pixels ausentes em cada camada serem estimados, tendo</p><p>como base os valores dos vizinhos existentes. Ainda, antes do armazenamento,</p><p>é executado um processamento adicional, realizando o balanço do branco,</p><p>a correção da gama e o aprimoramento de imagem. Por fim, a imagem digital é</p><p>gerada e armazenada ao dispositivo de memória (REDI; DUGELAY; TAKTAK, 2011).</p><p>A maioria das câmeras digitais armazena as imagens em formato JPEG</p><p>(Joint Photographics Experts Group), que é um formato baseado em algoritmos</p><p>de compressão. Joint Photographics Experts Group é o nome do comitê que</p><p>padronizou esse formato, que se refere ao modo pelo qual a imagem deve ser</p><p>comprimida e acomodada em uma sequência de bytes, além da forma de re-</p><p>construir a imagem a partir dessa sequência. Entretanto, o formato de arquivo</p><p>Análise em imagens digitais 3</p><p>que contém a sequência de bytes é definido a partir de outros padrões —</p><p>o Exif (Exchangeable Image File Format) e o JFIF (JPEG File Interchange Format),</p><p>que costumam ser referidos apenas como “formato JPEG” (VELHO, 2016).</p><p>De acordo com Velho (2016), a compressão de dados envolve o tamanho</p><p>dos arquivos, ou seja, o tamanho final do arquivo será inferior ao tamanho</p><p>real da imagem, podendo ser calculado pela multiplicação da quantidade de</p><p>pixels pelo tamanho, em bytes, que é ocupado por cada pixel. A compressão</p><p>pode ocorrer de duas formas: sem perdas, em que a imagem pode ser re-</p><p>construída à forma original, partindo dos dados contidos no arquivo; e com</p><p>perdas, em que ocorre o descarte seletivo de informações, dessa forma,</p><p>ao reconstruir a imagem partindo do arquivo, ela não fica exatamente igual,</p><p>mas muito próxima à imagem original. Do ponto de vista da análise pericial,</p><p>os algoritmos e os formatos de arquivos envolvem a recuperação total ou</p><p>parcial dos dados contidos em um dispositivo de armazenamento, levando</p><p>em consideração o tipo de compressão aplicada em uma imagem.</p><p>Analisando o formato de arquivo da imagem, é possível a identificação</p><p>de informações importantes sobre a existência, ou não, de manipulação.</p><p>As imagens no formato Exif-JPEG definem, além da forma de armazenamento</p><p>de fluxo de bytes da imagem comprimida, informações que dizem respeito à</p><p>câmera, os metadados, que incluem dados como marca, modelo, hora/data</p><p>da imagem, tempo de exposição, abertura e distância focal, entre outros</p><p>(VELHO, 2016).</p><p>Além do Exif-JPEG e do JFIF, as imagens digitais podem ser de diversos</p><p>outros formatos, como: JPEG 2000, BMP (Windows Bitmap), PNG (Portable</p><p>Network Graphics), GIF (Graphics Interchange Format) e TIFF (Tagged Image</p><p>File Format). Esses formatos são resumidos por Velho (2016) a seguir:</p><p>� JPEG 2000. Apresenta melhor desempenho na compressão, princi-</p><p>palmente em imagens de baixa qualidade de bits/pixel. Esse formato</p><p>permite a utilização de compressão sem perdas, com base em trans-</p><p>formadas Wavelet.</p><p>� BMP. Utiliza compressão sem perdas (Hufmann, ou run-lenght encoding</p><p>[RLE]) e armazena as informações de intensidade dos canais de cor</p><p>para cada pixel em até 24 bits por pixel.</p><p>� GIF. Nesse formato, os pixels podem conter até 8 bits de informação,</p><p>limitando a quantidade de cores da imagem para no máximo 256.</p><p>O algoritmo de compressão é o Lempel-Ziv-Welch (LZW), que é um</p><p>algoritmo sem perdas. O GIF é utilizado para gráficos simples e com</p><p>poucas cores, além de suportar recursos de animação.</p><p>Análise em imagens digitais4</p><p>� PNG. Permite armazenamento de imagem com até 48 bits por pixel,</p><p>sendo possível a inclusão do canal alfa, que é responsável pelos efeitos</p><p>de transparência. Para compressão, é utilizado o algoritmo sem perdas</p><p>DEFLATE, sendo feita em dois estágios, uma combinação do algoritmo</p><p>LZ77 com codificação de Huffman.</p><p>� TIFF. Esse formato é muito flexível e admite compressão com ou sem</p><p>perdas. Além disso, o TIFF suporta espaços de cores diferentes, por isso</p><p>é um formato muito utilizado em trabalhos profissionais de fotografia.</p><p>Considerando o quanto imagens digitais fazem parte do dia a dia, a perícia</p><p>de imagens digitais é uma área importante. Dessa forma, na imagem digital,</p><p>tanto o processo de aquisição quanto as técnicas de adulteração são susce-</p><p>tíveis e deixam rastros sutis, sendo tarefa dos especialistas forenses expor</p><p>esses vestígios. Para isso, Redi, Dugelay e Taktak (2011) afirmam que devem</p><p>ser respondidas duas questões:</p><p>� A imagem foi adquirida por qual dispositivo?</p><p>� A imagem apresenta seu conteúdo original?</p><p>As técnicas utilizadas para responder a essas questões serão apresentadas</p><p>nas próximas seções.</p><p>Imagens digitais: metodologia de análise</p><p>Com os avanços da análise forense de imagens digitais, é possível a identi-</p><p>ficação do tipo de câmera, de modelo e de sensor utilizado para capturar a</p><p>imagem ou vídeo. Isso pode ser feito por meio da exploração de traços ou</p><p>impressões digitais deixados durante a fase de aquisição da imagem. Com</p><p>essa conexão entre imagem e dispositivo, é possível rastrear atividades crimi-</p><p>nosas, como atos terroristas ou imagens e vídeos relacionados à pornografia</p><p>infantil, elevando o nível de investigação. (SINGH; SINGH, 2018)</p><p>A maioria das técnicas forenses relevantes a este capítulo são utilizadas</p><p>para a classificação das imagens digitais, ou seja, servem para identificar se</p><p>a imagem foi adquirida com dispositivo de scanner ou criada pela câmera e</p><p>se foi adulterada</p><p>com algum software de edição. Identificar o dispositivo que</p><p>foi utilizado para aquisição das imagens digitais é de grande importância,</p><p>pois, em um tribunal, pode representar uma evidência crucial, garantindo</p><p>sua validade ao determinar o real dispositivo que a adquiriu.</p><p>Análise em imagens digitais 5</p><p>Tais técnicas possuem como base a análise dos traços relacionados às</p><p>etapas de aquisição (ver Figura 1). Singh e Singh (2018) e Korus (2017) apre-</p><p>sentam os principais métodos utilizados para identificar o dispositivo pelo</p><p>qual a imagem foi adquirida, como veremos a seguir.</p><p>Métodos de aberração da lente</p><p>Muitas das imperfeições já são introduzidas no processo de fabricação das</p><p>lentes, podendo ocorrer por impurezas materiais, defeitos de máquinas,</p><p>entre outros. Com isso, são criadas variadas aberrações nas imagens digitais.</p><p>Distorções radiais e cromáticas são as principais aberrações analisadas com</p><p>o intuito de identificar a câmera fonte. A distorção radial deforma a imagem,</p><p>de modo que as linhas retas no espaço do objeto aparecem como linhas</p><p>curvas. Para que esse tipo de aberração seja analisado, deve-se fazer uso de</p><p>uma impressão digital, sendo possível identificar a câmera de origem, pois</p><p>o grau de distorção varia de acordo com os diferentes modelos de câmeras</p><p>de diferentes fabricantes.</p><p>Um método proposto para analisar parâmetros de distorção que fornecem</p><p>a impressão digital é baseado na linha reta de Devernay. De acordo com</p><p>Devernay e Faugeras (1995, p. 62):</p><p>O algoritmo consiste em primeiro fazer a extração de borda em uma sequência de</p><p>vídeo possivelmente distorcida e, em seguida, fazer aproximação poligonal com</p><p>uma grande tolerância nessas bordas para extrair possíveis linhas da sequência,</p><p>e em seguida, encontrar os parâmetros de nosso modelo de distorção que melhor</p><p>transformam essas arestas em segmentos.</p><p>No entanto, essa técnica não fornece resultados satisfatórios quando</p><p>não existirem retas na imagem analisada e quando duas câmeras do mesmo</p><p>modelo são comparadas. Além do mais, problemas de distorção radial podem</p><p>ser resolvidos operando software de correção.</p><p>Para auxiliar na correta identificação da câmera, também se analisa a</p><p>aberração cromática. Esse tipo de aberração ocorre quando a luz de diferen-</p><p>tes comprimentos de onda não consegue se encontrar em um mesmo ponto</p><p>de plano focal. São dois os tipos de distorções cromáticas: a longitudinal,</p><p>na qual diferentes comprimentos de onda se encontram focados em diferentes</p><p>distâncias da lente; e a lateral, que é correspondente a diferentes posições</p><p>do sensor.</p><p>Análise em imagens digitais6</p><p>A distorção cromática lateral emprega o classificador SVM (support vector</p><p>machine), que é treinado para reconhecer a câmera fonte, dessa forma a</p><p>maximização da informação mútua entre canais de cores alimentam um SVM.</p><p>No entanto, esse método fornece apenas a identificação dos modelos das</p><p>câmeras, mas não dispositivos individuais, sendo necessário analisar outras</p><p>etapas no pipeline de aquisição de imagens.</p><p>Esquemas de interpolação CFA</p><p>As impressões digitais que a fase de interpolação deixa na imagem podem</p><p>ser utilizadas para localizar regiões alteradas. A imagem que provém da câ-</p><p>mera digital apresenta artefatos de interpolação CFA — processo de imagem</p><p>digital que é utilizado para reconstrução de uma imagem colorida, partindo</p><p>de amostras de cores incompletas, que são produzidas por um sensor de</p><p>imagem sobreposto a uma matriz de filtro de cores — em cada cluster de pixel</p><p>que corresponde a um componente CFA. Quando ocorrem adulterações na</p><p>imagem, os artefatos de interpolação acabam por se tornar inconsistentes.</p><p>Para identificar a fonte das imagens, utilizam-se técnicas que se con-</p><p>centram em detectar o padrão CFA e o algoritmo de interpolação de cores</p><p>empregado nas etapas de processamento interno da câmera utilizada na</p><p>aquisição da imagem. A técnica proposta para essa identificação envolve a</p><p>aproximação linear, que é utilizada para avaliar coeficientes de interpolação</p><p>de cores para padrão CFA em diferentes tipos de textura da imagem, como</p><p>regiões de imagem gradiente horizontal e vertical. Essa técnica produz um</p><p>mapa de probabilidade, expondo picos em diferentes frequências e indicando</p><p>a correlação estrutural entre amostras espaciais.</p><p>Métodos de imperfeições de sensor</p><p>Imperfeições de fabricação fazem os pixels em sensores de imagem exibirem</p><p>pequenas variações na sensibilidade de resposta da foto, causando ruídos</p><p>multiplicativos consistentes em todas as imagens adquiridas. O padrão de</p><p>não uniformidade de foto-resposta (PRNU, do inglês photo response non-</p><p>-uniformity) é estável ao longo do tempo, o que torna possível utilizá-lo como</p><p>uma assinatura única de cada dispositivo de captura. Por ser mais robusta</p><p>que o pós-processamento (como redimensionamento e compressão), essa</p><p>assinatura foi adotada de forma generalizada em investigações forenses e</p><p>disponibilizada em software comercial.</p><p>Análise em imagens digitais 7</p><p>A técnica pode ser utilizada tanto para identificar o dispositivo fonte</p><p>como para localizar a falsificação na imagem digital. Para a identificação do</p><p>dispositivo fonte, envolve a correlação da assinatura esperada do dispositivo</p><p>com a estimativa da imagem investigada. Para localizar a falsificação baseada</p><p>nas assinaturas do sensor, é necessário correlacionar o local das assinaturas</p><p>para identificar áreas específicas com possíveis incompatibilidades. Além de</p><p>gerar mapas de localização de adulteração de pixel, a análise da assinatura</p><p>PRNU também pode ser utilizada para estimativas de parâmetros de redi-</p><p>mensionamento ou recorte.</p><p>Técnicas baseadas em análise de JPEG</p><p>Apesar de o formato de compressão JPEG ser praticamente padrão, por ser</p><p>usado pela maioria dos dispositivos de câmera e software para fins de co-</p><p>dificação, esse tipo de compressão pode compactar a imagem com base em</p><p>diferentes fatores de qualidade, o que faz diferentes modelos de dispositivos</p><p>terem diferentes configurações relacionadas ao parâmetro de compressão,</p><p>ou seja, matriz de quantização. Dessa forma, é possível verificar o arquivo</p><p>investigado em um banco de dados de tabelas conhecidas. Como é extre-</p><p>mamente simples que as imagens sejam compactadas mais de uma vez e os</p><p>metadados podem ser editados, essa análise pode não ser confiável.</p><p>No entanto, em alguns casos, é possível a detecção de parâmetros da</p><p>imagem original, com a execução de análises estatísticas sofisticadas, como,</p><p>por exemplo, detectar traços de compressão JPEG ou estimar a matriz de</p><p>quantização envolvida, partindo de uma representação de bitmap. A identi-</p><p>ficação do dispositivo de aquisição pode ser realizada por meio da estima-</p><p>tiva da primeira matriz de quantização, no caso de múltiplas imagens JPEG</p><p>compactadas.</p><p>Na próxima seção, serão abordados os métodos de análise de adulteração</p><p>de imagem e algumas ferramentas que podem ser utilizadas para a realização</p><p>dessas análises.</p><p>Imagens digitais: análise de vestígios</p><p>Redi, Dugelay e Tak Tak (2011) afirmam que adulterar significa fazer altera-</p><p>ções não autorizadas ou interferir em algo com o intuito de causar danos.</p><p>No âmbito das imagens digitais, a adulteração está relacionada à manipu-</p><p>lação intencional de imagens. Como as imagens digitais geralmente podem</p><p>Análise em imagens digitais8</p><p>portar muitas informações, as modificações podem ser feitas apenas para a</p><p>melhoria das imagens em questão, para postar em redes sociais, por exemplo,</p><p>ou adulteradas de forma criminosa, visando a modificar o significado semân-</p><p>tico da mensagem visual.</p><p>O conteúdo pode ser alterado de duas formas principais: remoção ou</p><p>adição de informações. Observe a Figura 2.</p><p>Figura 2. Exemplo de remoção de objetos.</p><p>Fonte: Redi, Dugelay e Taktak (2011, p. 143).</p><p>a b c</p><p>A Figura 2 mostra um exemplo de remoção: a pessoa que se encontra</p><p>no palanque em (a) é removida, e uma das informações de outra parte da</p><p>imagem é duplicada (b) para completar o lugar de onde a pessoa foi retirada;</p><p>o resultado é mostrado em (c). De acordo</p><p>com Redi, Dugelay e Taktak (2011),</p><p>normalmente, para remover informações, os falsificadores não precisam ter</p><p>acesso ao conteúdo de outra imagem. Agora observe a Figura 3.</p><p>Figura 3. Exemplo de adição de objetos.</p><p>Fonte: Redi, Dugelay e Taktak (2011, p. 143).</p><p>a b c</p><p>Análise em imagens digitais 9</p><p>A Figura 3 mostra o exemplo simples de adição de informações em uma</p><p>imagem: em (a) encontram-se apenas dois barcos; em (b) foi adicionado</p><p>um terceiro. Nesse caso não foi necessário, porém, geralmente, adicionar</p><p>informações estranhas em uma imagem envolve o uso de material extraído</p><p>de uma ou mais imagens distintas.</p><p>A Figura 4 mostra uma foto adulterada com a utilização de efeitos. A com-</p><p>paração é realizada entre a capa de duas revistas. É perceptível a diferença</p><p>entre (a), sem efeitos, e (b), com efeitos; a imagem mudou apenas com algumas</p><p>sombras em locais estratégicos e o indivíduo com cores mais escuras.</p><p>Figura 4. Exemplo de aplicação de efeitos.</p><p>Fonte: Redi, Dugelay e Taktak (2011, p. 144).</p><p>a b</p><p>Velho (2016) afirma que, na perícia criminal da Polícia Federal, alguns</p><p>casos que envolvem edições de imagem são referentes a fraudes</p><p>em contratos para a realização de eventos organizados por prefeituras. Nes-</p><p>ses casos, os autores das fraudes inserem elementos gráficos em imagens de</p><p>determinados eventos artístico-culturais, por exemplo, podendo ser placas,</p><p>logomarcas, símbolos do município e textos com datas, objetivando utilizá-las</p><p>para prestação de contas, como se o evento, que não existiu, tivesse ocorrido</p><p>de fato.</p><p>Análise em imagens digitais10</p><p>A seguir, serão apresentados os métodos utilizados para a detecção de</p><p>adulteração em imagens digitais e alguns exemplos de ferramentas que</p><p>realizam a análise forense.</p><p>Detecção de falsificação</p><p>Os autores Redi, Dugelay e Taktak (2011) apresentam os principais métodos</p><p>de detecção de falsificação.</p><p>Adulteração em imagem única</p><p>Para modificar a semântica de uma imagem, o método de copiar-mover de</p><p>uma região da própria imagem é um dos mais populares, principalmente</p><p>por sua simplicidade e eficácia. Ao copiar uma região sem executar retoques</p><p>adicionais, a área adulterada continua compartilhando com o resto da imagem</p><p>a maioria de suas propriedades, como ruído de padrão ou paleta de cores,</p><p>por exemplo. No entanto, a análise estrutural dos segmentos de imagem</p><p>pode revelar grandes semelhanças entre regiões distantes.</p><p>Para determinar áreas adulteradas, é proposta uma técnica que procura</p><p>correspondências entre as representações DCT (discrete cosine transform)</p><p>de segmentos de imagem. De modo a evitar a carga computacional de uma</p><p>comparação de força bruta, são classificados os coeficientes DCT de maneira</p><p>lexicográfica e considerando pares idênticos adjacentes como regiões pos-</p><p>sivelmente adulteradas.</p><p>Outra técnica que pode ser utilizada para a análise dos vestígios é com</p><p>base em um critério espacial. Ou seja, é construído um histograma a partir</p><p>da contagem do número de segmentos correspondentes que se encontram</p><p>separados pela mesma distância. Quanto maior o número de pares encon-</p><p>trados em uma mesma distância, maiores são as chances de esses pares</p><p>pertencerem a regiões movidas. Dessa forma, os segmentos correspondentes</p><p>são selecionados e as regiões são marcadas como adulteradas, evitando a</p><p>seleção de segmentos isolados.</p><p>Composição da imagem</p><p>A composição de imagens é o resultado da união entre partes de diferentes</p><p>imagens em uma única. Essa técnica de adulteração deixa rastros, e embora</p><p>modernas aplicações de editores de imagem permitam cobrir os vestígios</p><p>das emendas de forma convincente, nem sempre é possível que o falsificador</p><p>consiga corresponder às condições de iluminação das regiões que contêm a</p><p>Análise em imagens digitais 11</p><p>emenda, sendo uma das maiores dificuldades para o criminoso reproduzir os</p><p>fenômenos físicos da luz, como sombras e reflexos. Essa técnica de análise</p><p>consiste em estimar regiões delimitadoras de sombras, sendo elas projetadas</p><p>ou anexas, ao longo da imagem, de modo a verificar se são consistentes com</p><p>uma única direção, que se refere à direção da fonte principal de luz.</p><p>Adulteração de imagem</p><p>As técnicas são mais eficientes quando se conhece o tipo de adulteração</p><p>que está sendo buscado. De uma maneira mais geral, desconhecendo as</p><p>modificações realizadas nos vestígios, é utilizada a análise de três diferentes</p><p>artefatos que podem ser explorados para detectar alterações: traços de</p><p>reamostragem, artefatos de compressão e a inconsistência em impressões</p><p>digitais do dispositivo de aquisição.</p><p>A reamostragem é uma operação necessária quando uma imagem passa por</p><p>transformações como, por exemplo, redimensionamento e rotação. Quando</p><p>um objeto estranho é inserido em uma imagem, provavelmente exigirá que,</p><p>ao menos, o seu tamanho seja ajustado, dessa forma, a reamostragem estará</p><p>envolvida e seus traços poderão indicar uma possível falsificação.</p><p>Em relação ao artefato de compressão, é possível que, caso uma imagem</p><p>seja originada de duas imagens JPEG diferentes, traços de compressão di-</p><p>ferentes podem ser expostos. A técnica utilizada é a comparação da versão</p><p>compactada da imagem de modo diferente da original. Como os fatores</p><p>de qualidade JPEG variam para cada dispositivo, quando a região adulte-</p><p>rada estiver presente e possuir um fator de qualidade inferior ao seu redor,</p><p>o método o localiza detectando pequenos locais espaciais, ou seja, os JPEGs</p><p>fantasmas, aparecendo em correspondência com a falsificação.</p><p>Quando as características de uma imagem não condizem com as caracte-</p><p>rísticas do dispositivo que teoricamente deveria ser sua fonte, significa que</p><p>são identificadas inconsistências em impressões digitais do dispositivo de</p><p>aquisição. Para essa definição, as técnicas já foram discutidas anteriormente</p><p>nesse capítulo.</p><p>Esteganografia</p><p>É a prática de ocultação de um arquivo dentro de outro, sendo as imagens e</p><p>vídeos os hospedeiros mais utilizados. Dessa forma, uma imagem digital pode</p><p>ser utilizada para hospedar um malware, por exemplo, e enviar informações</p><p>para o invasor, além de tornar a rede toda vulnerável.</p><p>Análise em imagens digitais12</p><p>As informações secretas podem ser gravadas nos metadados das imagens</p><p>hospedeiras, ou então diretamente no conteúdo principal. Para sua detecção</p><p>existem diferentes técnicas, como, por exemplo: detecção baseada em esta-</p><p>tística de primeira ordem, ou seja, análise de histograma, bem como métodos</p><p>de estatísticas duplas que fazem uso de correlações espaciais em imagens,</p><p>sendo possível identificar o arquivo malicioso escondido na imagem digital.</p><p>Ferramentas</p><p>Existem inúmeras ferramentas que podem ser usadas para a detecção e a</p><p>análise de adulterações em imagens digitais, auxiliando os peritos a executar</p><p>uma análise mais eficiente. Para fins desse capítulo serão apresentadas duas:</p><p>ImageJ e o NuDetective.</p><p>ImageJ</p><p>O ImageJ é um programa de processamento de imagem de domínio público</p><p>desenvolvido em Java. Com ele é possível exibir, editar, analisar, processar,</p><p>salvar e imprimir imagens de 8, 16 e 32 bits. Além disso, ele suporta os dife-</p><p>rentes tipos de formatos de imagem, como TIFF, GIF, JPEG, entre outros.</p><p>Essa ferramenta pode calcular estatísticas de área e valor de pixel em</p><p>seleções determinadas pelo usuário. Ela também é capaz de medir ângulos</p><p>e distâncias, criar histograma de densidade e gráficos de perfil de linha.</p><p>ImageJ consegue oferecer suporte a funções de processamento de imagem,</p><p>como manipulação de contraste, nitidez, suavização, detecção de bordas e</p><p>filtragem de mediana (INTRODUCTION, 2018).</p><p>NuDetective</p><p>Crimes de pedofilia são muito comuns, infelizmente, e envolvem imagens</p><p>digitais. Dessa forma, a ferramenta NuDetective tem auxiliado muito em</p><p>locais de crimes e de busca e apreensão que estão sendo investigados por</p><p>suspeita de pedofilia. Essa ferramenta foi desenvolvida para contribuir com</p><p>esse tipo de investigação, pois detecta de maneira automática a presença</p><p>de nudez e pornografia infantil em arquivos que estejam armazenados</p><p>em</p><p>computadores, HDs, pen drives, cartões de memória e celulares.</p><p>As principais técnicas de análise utilizadas pelo NuDetective são: de ima-</p><p>gem, de nomes, de hash e de vídeo. Na análise de imagem, o software busca as</p><p>imagens digitais que contenham nudez, por meio da identificação de pixels de</p><p>Análise em imagens digitais 13</p><p>imagens com maior porcentual de tom de pele humana. Na análise de nomes,</p><p>a ferramenta analisa palavras-chave, pesquisando nomes de arquivos que</p><p>identifiquem termos que são comuns na associação da pedofilia. Na análise</p><p>de hash (código virtual de um arquivo), que funciona como se fosse uma</p><p>impressão digital, a ferramenta busca arquivos por hashes, comparando com</p><p>os códigos de hashes de arquivos ilegais, que são adicionados no banco de</p><p>dados da Polícia Federal. O software também é capaz de identificar vídeos</p><p>de pornografia infantil, extraindo frames de vídeos e aplicando algoritmos</p><p>de detecção de nudez (MONTEIRO, 2017).</p><p>Enfim, quanto mais a tecnologia evolui, mais vão surgindo técnicas e</p><p>aplicações que envolvem representação de imagens digitais. Dessa forma,</p><p>a análise forense de imagens digitais é uma área que deve estar em constante</p><p>crescimento e aprimoramento, pois imagens podem conter inúmeras infor-</p><p>mações importantes e muito relevantes para algum caso, e, caso o perito não</p><p>seja experiente e atento, pode deixar passar vestígios fundamentais para a</p><p>resolução do caso em questão.</p><p>Referências</p><p>DEVERNAY, F.; FAUGERAS, O. Automatic calibration and removal of distortion from scenes</p><p>of structured environments. In: INVESTIGATIVE AND TRIAL IMAGE PROCESSING, , 1995,</p><p>San Diego. Proceedings [...]. Bellingham: Society of Photo-Optical Instrumentation</p><p>Engineers, 1995. Disponível em: https://hal.inria.fr/hal-00821474/document. Acesso</p><p>em: 27 jul. 2021.</p><p>INTRODUCTION. ImageJ – Image Processing and Analysis in Java, Bethesda, 2018. Dis-</p><p>ponível em: https://imagej.nih.gov/ij/docs/intro.html. Acesso em: 27 jul. 2021.</p><p>KORUS, P. Digital image integrity: a survey of protection and verification techniques.</p><p>Digital Signal Processing, [S. l.], v. 71, p. 1–26, Dec. 2017.</p><p>MONTEIRO, P. NuDetective: ferramenta forense de combate à pedofilia. IPOG Blog,</p><p>[S. l.], 4 out. 2017. Disponível em: https://blog.ipog.edu.br/tecnologia/nudetective-</p><p>-ferramenta-pedofilia/. Acesso em: 27 jul. 2021.</p><p>REDI, J.; DUGELAY, J. L.; TAKTAK, W. Digital image forensics: a booklet for beginners.</p><p>Multimedia Tools & Applications, [S. l.], v. 51, p. 133–162, 2011. Disponível em: https://</p><p>link.springer.com/article/10.1007/s11042-010-0620-1. Acesso em: 27 jul. 2021.</p><p>SENCAR, H. T.; MEMON, N. (ed.). Digital image forensics: there is more to a picture than</p><p>meets the eye. New York: Springer, 2013. 372 p.</p><p>SINGH, G.; SINGH, K. Digital image forensics: discovering the history of digital images.</p><p>International Scholarly and Scientific Research & Innovation, [S. l.], v. 12, n. 10, p. 939–945,</p><p>2018. Disponível em: https://publications.waset.org/10009703/digital-image-forensics-</p><p>-discovering-the-history-of-digital-images. Acesso em: 27 jul. 2021.</p><p>VELHO, J. A. (org.). Tratado de computação forense. Campinas: Millennium, 2016. 624 p.</p><p>Análise em imagens digitais14</p><p>Leitura recomendada</p><p>INTELIGÊNCIA Artificial da Adobe é capaz de detectar rostos modificados por Pho-</p><p>toshop. Olhar Digital, São Paulo, 14 jun. 2019. Disponível em: https://olhardigital.com.</p><p>br/2019/06/14/noticias/inteligencia-artificial-da-adobe-e-capaz-de-detectar-rostos-</p><p>-modificados-por-photoshop/. Acesso em: 27 jul. 2021.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise em imagens digitais 15</p><p>Dica do professor</p><p>Há diversos programas de edição de imagens atualmente, até mesmo aplicativos de celular, porém</p><p>o mais popular entre todos ainda é o Photoshop. Antigamente, esse programa era mais utilizado por</p><p>especialistas de edição de imagens, porém, hoje, com os diversos tutoriais disponíveis, qualquer</p><p>pessoa consegue editar fotos em grande estilo, como se fossem legítimas, o que é excelente, mas</p><p>também tem desvantagens.</p><p>A facilidade de edição de fotos fez as pessoas criarem muitas fotos falsas e as divulgarem como</p><p>grandes verdades. Isso pode ser feito quando dizer respeito somente à vida da pessoa, pois não</p><p>causará problema em um contexto geral. Contudo, quando essas edições envolvem outras pessoas</p><p>e até mesmo figuras públicas, com o uso de difamação, isso pode ser enquadrado como crime.</p><p>Nesta Dica do professor, confira cinco dicas simples de como verificar se uma imagem foi editada</p><p>ou não. No entanto, essas dicas valem apenas para imagens editadas por usuários comuns, já que</p><p>especialistas na ferramenta Photoshop conseguem manipular essas informações, deixando a</p><p>investigação bem mais complexa.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/466c180cda7daf5cba9b795a42ffd8aa</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja a seguir as sugestões do professor:</p><p>Reconhecimento de adulterações em imagens digitais: uma</p><p>abordagem passiva</p><p>Leia a dissertação a seguir para conferir o reconhecimento de adulterações em imagens digitais</p><p>com o uso de duas abordagens: com e sem compressão JPEG. A abordagem com compressão JPEG</p><p>foi baseada na análise da vizinhança, em que um pixel pode ser classificado como interpolado ou</p><p>não interpolado. Já a análise sem compressão do JEPG foi baseada na análise da inconsistência do</p><p>BAG (Block Artifact Grid), utilizado em técnicas de adulteração, como composição e clonagem.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Metadados: a recuperação de imagens digitais baseada em</p><p>conteúdo</p><p>Leia a dissertação a seguir para conferir uma discussão sobre o processo de indexação e</p><p>recuperação de imagens digitais. Nesse caso, foi abordada a indexação e a recuperação de imagens</p><p>fotográficas, com o intuito de melhorar a precisão de recuperação dos documentos. Nesse sentido,</p><p>a utilização dos metadados foi significativa, devido ao fato de o funcionamento da web estar</p><p>associado à recuperação de dados.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>SEPINF:IPED</p><p>Confira o manual do IPED, um programa forense que faz diversas análises, entre elas a análise de</p><p>imagens, como a detecção de nudismo, por exemplo. O programa utiliza um comando em Java</p><p>originalmente desenvolvido para indexar relatórios do FTK 1.8 e relatórios do FTK 3+. O IPED tem</p><p>https://repositorio.ufpb.br/jspui/bitstream/tede/9270/2/arquivototal.pdf</p><p>https://repositorio.unesp.br/bitstream/handle/11449/154525/santos_jmp_me_mar.pdf?sequence=3&isAllowed=y</p><p>diversas funcionalidades iguais às de software forenses comerciais, de modo que é uma alternativa</p><p>eficiente e de código aberto.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-Manual_pt-BR.pdf</p><p>Análise relacionada à pornografia</p><p>infantojuvenil</p><p>Apresentação</p><p>Entre as práticas delituosas mais comuns envolvendo o uso de dispositivos computacionais,</p><p>encontram-se os crimes relacionados à pornografia infantojuvenil e à exploração sexual de crianças</p><p>e adolescentes. Logo, conhecer as peculiaridades e as características desse tipo de crime é</p><p>fundamental para a correta realização dos exames periciais dessa natureza.</p><p>Infelizmente, a exploração sexual de crianças e adolescentes tem uma longa história no Brasil e no</p><p>mundo. É comum a veiculação de notícias de crianças abusadas sexualmente, além de notícias</p><p>dos dispositivos computacionais</p><p>A análise dos dispositivos computacionais é uma atividade muito importante a</p><p>ser desenvolvida pelo perito computacional. Existem certas ações que devem</p><p>ser tomadas pelos peritos computacionais, dependendo se o computador for</p><p>encontrado ligado ou desligado. A primeira informação importante que o perito</p><p>deve ter em mente é que não se deve mexer o equipamento de informática</p><p>até que haja total segurança de que não há risco de perda de informações,</p><p>uma vez que, conforme Reis (2003), alguns criminosos instalam softwares</p><p>maliciosos nas máquinas que podem destruir algumas evidências ou danifi-</p><p>car o próprio equipamento caso ele seja ligado ou desligado abruptamente.</p><p>Na realidade, em caso de computador ligado, o perito precisará se atentar às</p><p>instruções quanto ao manuseio dessas máquinas, para que não haja qualquer</p><p>problema em seu transporte e coleta para análise técnica.</p><p>É preciso que o perito verifique se cada aparelho eletrônico encontrado</p><p>estava ligado ou desligado, não apenas os computadores ou notebooks. Simão</p><p>et al. (2011) apontam que, no caso de smartphones, a fim de preservar os</p><p>dados armazenados no equipamento apreendido, é necessário que o perito</p><p>a princípio verifique se ele está ligado ou não. É necessário que o analista</p><p>técnico, com o telefone desligado, extraia os dados do cartão de memória</p><p>dos smartphones apreendidos. Contudo, é importante destacar que alguns</p><p>aparelhos não têm cartões de memória removíveis. Para esses casos, será</p><p>necessário fazer a extração de seus dados por meio de leitores USB. A partir</p><p>disso, com as redes de telefonia e internet isoladas, é possível fazer a ligação</p><p>do aparelho e já colocá-lo em modo sem conexão, para não haver risco de</p><p>ele fazer qualquer tipo de transmissão de dados.</p><p>Além de todos esses procedimentos que diferenciam as ações dos peritos</p><p>quando encontram aparelhos ligados ou desligados, Silva (2018) determina</p><p>que há três maneiras de analisar os equipamentos encontrados no local do</p><p>crime ou decorrentes de busca e apreensão: Live Analysis, Network Analysis</p><p>e Post Mortem Analysis. Esses modos de análise permitem a verificação das</p><p>atividades que devem ser desempenhadas pelo perito no caso do equipa-</p><p>mento ligado ou desligado.</p><p>Segundo Melo (2008), a Live Analysis é uma análise feita nos equipamentos</p><p>computacionais encontrados ligados ou quando não é possível que ocorra o</p><p>seu desligamento porque ele depende de outros equipamentos para o seu</p><p>funcionamento. Nessa análise, o perito coletará informações da máquina</p><p>propriamente dita, como em sua memória principal, CPU, dispositivos de</p><p>armazenamento, etc, e da rede, para identificar informações e dispositivos</p><p>pertencentes à rede.</p><p>Introdução à computação forense10</p><p>A análise do equipamento ligado, conforme estipula Silva (2018), pode</p><p>recuperar informações que poderiam se perder caso o dispositivo fosse des-</p><p>ligado. Contudo, a dificuldade desse tipo de análise é porque a preservação</p><p>dos vestígios se torna mais dificultosa, uma vez que o equipamento deve</p><p>ficar ligado para que não se destrua qualquer prova.</p><p>Imagine que a Polícia Federal está fazendo uma vasta investigação em</p><p>uma quadrilha que atua no ramo de comércio de pornografia infantil.</p><p>Após as investigações, foi encontrado o local onde essa quadrilha atua. Ao fazer</p><p>a entrada no local, os policiais encontram diversos computadores, servidores,</p><p>notebooks e smartphones em posse dos criminosos. Entre esses equipamentos,</p><p>três computadores foram encontrados ligados. Assim, sem se mexer em qualquer</p><p>máquina encontrada, os peritos computacionais são chamados imediatamente,</p><p>para que realizem a análise adequada nas máquinas encontradas ligadas, a fim</p><p>de preservar e recuperar todas as informações e dados que serão úteis para o</p><p>término e sucesso da investigação. Assim, os peritos realizam a coleta do cache e</p><p>dos registros dessas máquinas, além de buscar as últimas aplicações feitas pelos</p><p>criminosos, para que possam encontrar possíveis dados criptografados no disco</p><p>rígido. Após essa análise imediata dos equipamentos ligados, esses computadores,</p><p>assim como os outros equipamentos, são apreendidos pela autoridade policial,</p><p>para que os peritos terminem de fazer análises técnicas cabíveis e emitam o laudo</p><p>técnico com as conclusões encontradas.</p><p>Segundo Souza (2017), a Network Analysis é uma análise feita nos equi-</p><p>pamentos que tem relação com o monitoramento do tráfego de uma rede,</p><p>para que seja possível a coleta de informações e vestígios e a detectação</p><p>de invasões. De acordo com Melo (2008), essa técnica de análise serve para</p><p>detectar informações de equipamentos de rede que sofreram algum ataque</p><p>contra a sua segurança. Ou seja, é uma análise feita na rede que sofreu al-</p><p>gum tipo de invasão, como ataques cibernéticos de hackers, sendo possível</p><p>identificar qual serviço foi utilizado para concretizar tal invasão, além de</p><p>definir a origem dessa ameaça e as possíveis falhas de segurança da rede.</p><p>De acordo com Barreira (2015), a Post Mortem Analysis é realizada quando</p><p>os equipamentos computacionais são encontrados desligados, não havendo</p><p>qualquer atividade em seu disco rígido e tendo o risco de as evidências</p><p>terem sido perdidas ou modificadas. Além disso, como o equipamento está</p><p>desligado, não há evidências de atividades por parte do invasor/criminoso,</p><p>não havendo necessidade de conter o seu ataque.</p><p>Introdução à computação forense 11</p><p>Neste capítulo, vimos os conceitos iniciais da computação forense e sua</p><p>atuação na perícia forense. Além disso, estudamos as áreas de abrangência</p><p>e atuação da computação forense, elencando as atividades desempenhadas</p><p>pelo perito computacional e a sua importância para todo o processo investi-</p><p>gativo. Também conhecemos os principais objetos e dispositivos analisados</p><p>no decorrer da perícia computacional, suas diferenças e características para</p><p>o desempenho do perito. Por fim, estudamos as diferenças entre as análises</p><p>feitas em equipamentos ligados e desligados e na rede comprometida.</p><p>Referências</p><p>BARREIRA, V. L. Crimes digitais e a computação forense. 2015. 1 apresentação em</p><p>slideshare. Disponível em: https://pt.slideshare.net/vlbarreira/crimes-digitais-e-a-</p><p>-computacao-forense. Acesso em: 22 jul. 2021.</p><p>BARWINSKI, L. A World Wide Web completa 20 anos, conheça como ela surgiu. Tecmundo,</p><p>2009. Disponível em: https://www.tecmundo.com.br/historia/1778-a-world-wide-web-</p><p>-completa-20-anos-conheca-como-ela-surgiu.htm. Acesso em: 22 jul. 2021.</p><p>BRASIL. Decreto-Lei n. 2.848, de 7 de dezembro de 1940. Código Penal. Rio de Janeiro:</p><p>Presidência da República, 1940. Disponível em: http://www.planalto.gov.br/ccivil_03/</p><p>decreto-lei/del2848compilado.htm. Acesso em: 22 jul. 2021.</p><p>BRASIL. Decreto-Lei n. 3.689, de 3 de outubro de 1941. Código de Processo Penal. Rio</p><p>de Janeiro: Presidência da República, 1941. Disponível em: http://www.planalto.gov.</p><p>br/ccivil_03/decreto-lei/del3689compilado.htm. Acesso em: 22 jul. 2021.</p><p>BRASIL. Lei n. 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do</p><p>Adolescente e dá outras providências. Brasília: Presidência da República, 1990. Dispo-</p><p>nível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 22 jul. 2021.</p><p>BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de</p><p>delitos informáticos; altera o Decreto-Lei n. 2.848, de 7 de dezembro de 1940 - Código</p><p>Penal; e dá outras providências. Brasília: Presidência da República, 2012. Disponível</p><p>em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso</p><p>em: 22 jul. 2021.</p><p>BRASIL. Lei n. 13.964, de 24 de dezembro de 2019. Aperfeiçoa a legislação processual</p><p>penal. Brasília: Presidência da República, 2019. Disponível em: http://www.planalto.</p><p>gov.br/ccivil_03/_ato2019-2022/2019/lei/L13964.htm. Acesso em: 22 jul. 2021.</p><p>BRASIL. Lei n. 14.155, de 27 de maio de 2021. Altera o Decreto-Lei n. 2.848, de 7 de dezembro</p><p>de 1940 (Código Penal), para tornar mais graves os crimes de violação de dispositivo</p><p>sobre a presença de abusadores em diversos locais e ocasiões, principalmente utilizando, para esse</p><p>fim, os modernos recursos tecnológicos disponíveis.</p><p>Os exames periciais devem considerar todas as evidências relacionadas, examinando todos os</p><p>caminhos percorridos pelo criminoso, seja no mundo real ou no mundo virtual.</p><p>Nesta Unidade de Aprendizagem, você vai aprender a identificar os itens que podem ser periciados</p><p>e suas peculiaridades. Também vai conhecer as metodologias e ferramentas para a realização</p><p>desses exames na internet, que serão apresentadas e discutidas com explicações sobre a análise de</p><p>vestígios.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados e suas peculiaridades.•</p><p>Descrever as metodologias e as ferramentas para realizar os exames na internet.•</p><p>Explicar a análise dos vestígios.•</p><p>Infográfico</p><p>Durante uma análise para a busca de arquivos relacionados à pornografia infantojuvenil, deve-se</p><p>ter consciência de que existem vários vestígios que devem ser buscados. Também deve-se ter</p><p>ciência da importância de se fazer uma análise minuciosa de forma individual, pois as ferramentas</p><p>podem apontar os arquivos que têm maior probabilidade conter a informação buscada, mas a</p><p>análise conclusiva deve ser realizada por um ser humano. Cada tipo de conteúdo possui uma</p><p>peculiaridade, uma forma de específica busca e dificuldades próprias.</p><p>Conheça, neste Infográfico, as características dos vestígios que devem ser buscados.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/63ade376-60a4-4088-925a-22fb75d1e08c/01801f57-a776-439e-a6d6-5185092372c4.jpg</p><p>Conteúdo do livro</p><p>A violência sexual contra crianças e adolescentes talvez sempre tenha permeado a humanidade. No</p><p>entanto, nos últimos anos, essa prática ganhou força devido ao avanço da tecnologia,</p><p>principalmente em função da internet, da popularização dos equipamentos de captura de imagens e</p><p>também da modernização dos meios de comunicação.</p><p>A internet permite acesso fácil a pessoas de todo o mundo, sem a necessidade de sair de casa e</p><p>com a possibilidade do anonimato. Além disso, com o avanço de câmeras fotográficas, filmadoras e</p><p>telefones celulares (smartphones), a obtenção de fotos e vídeos relacionados à pornografia</p><p>infantojuvenil tem se tornado cada vez mais fácil.</p><p>No capítulo Análise relacionada à pornografia infantojuvenil, base teórica desta Unidade de</p><p>Aprendizagem, você vai aprender como identificar e analisar vestígios de pornografia infantojuvenil</p><p>em itens computacionais e via internet, utilizando diferentes metodologias e ferramentas.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever as metodologias e as ferramentas para realizar os exames</p><p>na internet.</p><p>> Explicar a análise dos vestígios.</p><p>Introdução</p><p>Em tempos de acesso fácil à internet, o público infantil, mais vulnerável, tem</p><p>navegado na internet, não raro, sem qualquer supervisão. O crescimento no</p><p>número de crimes virtuais relacionados à pornografia infanto-juvenil chama</p><p>a atenção de peritos criminais. Com a popularização da internet e dos novos</p><p>meios de comunicação, como smartphones e notebooks, abusadores se apro-</p><p>veitam da possibilidade de anonimato durante os primeiros contatos para</p><p>alcançar um número maior de vítimas simultaneamente, sem a necessidade</p><p>de exposição pessoal.</p><p>Neste capítulo, você vai estudar os vestígios de pornografia infanto-juvenil,</p><p>identificando itens que podem ser periciados, além dos métodos e recursos</p><p>necessários para realizar esse tipo de exame, especialmente nos casos em que</p><p>os criminosos utilizam a internet como meio de exploração.</p><p>Análise relacionada</p><p>à pornografia</p><p>infanto-juvenil</p><p>Thaís Bison</p><p>Itens para perícia</p><p>O aumento de crimes virtuais de pornografia infantil tem exigido atenção</p><p>redobrada dos peritos criminais, além de investimentos em tecnologia fo-</p><p>rense. Para atuar em investigações contra essa prática criminosa, os peritos</p><p>contam com softwares e hardwares de inteligência forense, que permitem:</p><p>� coletar, analisar e identificar criminosos em pouco tempo e na cena</p><p>do crime;</p><p>� analisar mídias, como computadores, HDs, pen-drives, cartões de</p><p>memória e celulares;</p><p>� analisar diversos tipos de arquivos, como imagens, vídeos, documentos;</p><p>� detectar nudez e pornografia infantil em arquivos armazenados em</p><p>diversas mídias;</p><p>� gerar relatórios das análises periciais.</p><p>O indivíduo que utiliza sistemas computacionais com o intuito de realizar</p><p>crimes de pornografia infanto-juvenil produz vestígios de naturezas lógica</p><p>ou física, deixando evidências que podem ser identificadas para resolver um</p><p>fato ou crime. Essas pessoas usam diversos meios para ocultar arquivos que</p><p>contenham materiais pornográficos associados a crianças e adolescentes,</p><p>a exemplo de arquivos de mídia, como HDs, pen-drives, CDs, cartões de me-</p><p>mória, memória de celulares. Essas análises estão entre os exames periciais</p><p>mais comuns. Devemos tratá-los com o máximo de cuidado, porque são fonte</p><p>valiosa de provas. Ter clareza sobre o que se quer apurar e provar é o principal</p><p>ponto para identificar corretamente os vestígios.</p><p>À medida que os itens são identificados na cena do crime, algumas provi-</p><p>dências podem ser tomadas para garantir o isolamento dos vestígios, evitando</p><p>ataques à integridade das evidências. No isolamento físico, a regra é isolar a</p><p>maior área possível dentro do contexto do crime. Isso porque o isolamento</p><p>insuficiente pode levar à perda ou à contaminação de vestígios importantes,</p><p>já que estão fora do perímetro de isolamento e sujeitos à manipulação inde-</p><p>vida. Confira a seguir alguns pontos que devem ser observados.</p><p>� Região imediata: com maior concentração de vestígios da ocorrência</p><p>do fato.</p><p>� Região mediata: periferia da região imediata.</p><p>Análise relacionada à pornografia infanto-juvenil2</p><p>� Preservação idônea: situação em que os vestígios são mantidos inal-</p><p>terados desde que ocorre o fato até que os profissionais registrem</p><p>os vestígios.</p><p>� Preservação inidônea: quando há comprometimento dos vestígios,</p><p>seja por remoção, inserção ou combinação de ambas, o que gera a</p><p>substituição da evidência.</p><p>� Área interna: tem pelo menos uma proteção superior contra chuva, sol</p><p>e outros elementos naturais.</p><p>� Área externa: situa-se fora das instalações e tem influência dos ele-</p><p>mentos naturais.</p><p>� Área virtual: não está vinculada diretamente aos contextos físico e</p><p>lógico.</p><p>No caso de notebooks e desktops, na maioria das vezes, as informa-</p><p>ções mais relevantes a serem isoladas estão em alguma mídia secundária</p><p>de armazenamento, como HD, pen drive, HD externo, etc. Isso faz com que</p><p>apenas esses dispositivos de armazenamento necessitem ser isolados para</p><p>posterior coleta. Em alguns casos, a máquina inteira deverá ser identificada e</p><p>isolada, como as que utilizam arranjos de disco RAID. Do ponto de vista físico,</p><p>encontramos vários HDs e, do ponto de vista lógico, temos um único disco.</p><p>Se encontrarmos esses equipamentos desligados, não devemos ligá-los,</p><p>pois a inicialização do sistema operacional provoca alterações em determi-</p><p>nadas regiões da mídia de armazenamento secundária. Além disso, alguns</p><p>programas podem efetuar atividades não desejadas, o que pode comprometer</p><p>a integridade dos vestígios. Tendo a necessidade de análise desse tipo de mídia</p><p>in loco, devemos ter cuidado com a proteção contra escrita. Pode-se fazer a</p><p>inicialização por outro sistema operacional armazenado em outra mídia. Dessa</p><p>forma, não produzirá alterações na mídia questionada. Caso encontremos</p><p>essse equipamentos ligados, deve-se proceder a uma análise de viabilidade</p><p>de registro da evidência em situações de flagrância. A coleta do conteúdo</p><p>da memória primária, geralmente volátil, deve ser ponderada, pois podemos</p><p>encontrar arquivos</p><p>compartilhados, programas de compartilhamento abertos,</p><p>janelas de sites abertas, sessões de navegação em andamento, conversas em</p><p>softwares de comunicação, etc. Além disso, se os equipamentos estiverem</p><p>alimentados eletricamente por baterias, elas devem ser removidas e não mais</p><p>inseridas, desligando abruptamente o equipamento. Caso sejam abastecidos</p><p>diretamente pela rede elétrica via cabos, estes devem ser retirados.</p><p>Análise relacionada à pornografia infanto-juvenil 3</p><p>Dispositivos de entrada e saída, via de regra, não devem ser coleta-</p><p>dos, mas, em casos específicos, sua identificação e isolamento são</p><p>fundamentais para a elucidação do caso, como uma impressora responsável pela</p><p>impressão de imagens de pornografia infanto-juvenil ou um escâner utilizado</p><p>na captura de imagens de menores.</p><p>Mídias avulsas, como mídias ópticas, pen drives, HDs externos, cartões</p><p>de memória, etc., podem ser encontradas conectadas aos computadores</p><p>ou dentro de seus equipamentos originais, como filmadoras ou máquinas</p><p>fotográficas. Apesar de se tratar de uma filmadora ou de uma máquina fo-</p><p>tográfica, a memória ali contida se comporta como qualquer outra memória,</p><p>sendo possível armazenar outros tipos de arquivos.</p><p>É de suma importância separar as mídias não sensíveis à escrita (como CD</p><p>e DVD) das que são sensíveis à escrita, pois aquelas podem ser manuseadas</p><p>sem grandes riscos de que o conteúdo seja alterado. Isso porque sua natureza</p><p>somente de leitura já é o bloqueio natural contra modificações, enquanto</p><p>as mídias sensíveis à escrita precisam ser protegidas física ou logicamente,</p><p>evitando transformações indesejadas.</p><p>Os discos rígidos internos aos computadores podem ser inicialmente</p><p>analisados in loco ou recolhidos para análise em laboratório. Para a análise</p><p>direta no computador, sem a retirada, é recomendável usar outra mídia,</p><p>como pen drive e disco de boot, para inicializar outro sistema operacional</p><p>sem modificar as mídias sob análise. Se, na fase de identificação, algum</p><p>dispositivo for identificado como importante, e a evidência lógica puder ser</p><p>extraída sem necessidade da coleta física, cópias poderão ser feitas no local.</p><p>Equipamentos conectados em rede, por sua vez, devem ser desconectados</p><p>desligando-se como padrão ou tirando-se o cabo da rede. Durante a análise</p><p>de redes de internet, caso haja suspeitas de pornografia infanto-juvenil,</p><p>é necessário solicitar dados ao provedor de internet que está disponibili-</p><p>zando a rede periciada. Isso pode ser feito diretamente na empresa ou por</p><p>intermédio de um mandado de busca e apreensão. Esses dados coletados,</p><p>como IP da rede, dados do cliente (nome e endereço, por exemplo), serão de</p><p>grande importância para o reconhecimento do criminoso que está por trás da</p><p>ação. Diante do endereço IP informado pela empresa fornecedora do serviço,</p><p>é possível identificar o responsável consultando as bases de dados públicas.</p><p>Análise relacionada à pornografia infanto-juvenil4</p><p>Com os dados em mãos, o responsável pela investigação poderá identificar, ana-</p><p>lisar e coletar as evidências corretamente. Com base nisso, poderá garantir que</p><p>“a informação obtida é a representação dos dados originais extraídos da aplicação</p><p>de internet e que os passos para a preservação da evidência foram seguidos e o</p><p>conteúdo não sofreu alteração” (BARRETO; BRASIL, 2016, p. 30).</p><p>Os provedores armazenam os registros de conexão pelo prazo de um ano,</p><p>e as aplicações de internet, por seis meses. Todavia, contados sessenta dias</p><p>do pedido cautelar, deve haver uma representação judicial aos provedores</p><p>embasando-o. Por isso, tão logo tome conhecimento da prática do crime:</p><p>[…] o delegado de polícia deverá expedir ofício direcionado ao provedor de conexão</p><p>ou de aplicação de internet, indicando formas de localização do suposto ilícito,</p><p>como perfil do usuário, conta de e-mail, URL e outros dados uteis que individualizem</p><p>os fatos e apontem os indícios referentes à autoria (BARRETO; BRASIL, 2016, p. 30).</p><p>A mudança da computação tradicional para a computação em nuvem fez</p><p>com que informações relacionadas possam estar separadas geograficamente.</p><p>Assim, é possível acessar esses arquivos de qualquer dispositivo computa-</p><p>cional em qualquer local. Um dos principais vestígios que podemos coletar</p><p>durante a investigação de um crime de pornografia infanto-juvenil, portanto,</p><p>é o endereço IP, que deve estar acompanhado de data, hora exata da conexão</p><p>ou comunicação e fuso horário do sistema. Após a localização do provedor</p><p>de acesso responsável pelo IP, o órgão competente deverá requerer ao juiz</p><p>um pedido de quebra de sigilo de dados telemáticos para que seu provedor</p><p>de acesso revele as informações do usuário vinculado, numa determinada</p><p>data e num determinado horário.</p><p>Além disso, podemos encontrar muitas evidências de crime de pornografia</p><p>infanto-juvenil em e-mails. Para análises desse tipo, precisamos considerar a</p><p>origem e a autoria. É preciso não apenas preservar o conteúdo da mensagem,</p><p>como também identificar remetente e destinatário pelo cabeçalho do e-mail</p><p>e descobrir o endereço IP, a data, a hora da transmissão e o fuso horário.</p><p>Caso a mensagem tenha anexos, devemos ter cuidado, pois, para examiná-los,</p><p>é necessário baixar o arquivo, o que pode levar a uma infecção no nosso pró-</p><p>prio computador. Como alternativa, é possível abrir em uma máquina virtual.</p><p>Ao analisarmos sites, a primeira ação a ser feita é a cópia de todo o con-</p><p>teúdo, que é possível com acesso off-line, copiando e preservando informa-</p><p>ções, evitando a perda de vestígios caso o site seja retirado do ar. Quando o</p><p>site periciado está on-line, a cópia do seu conteúdo pode ser realizada por</p><p>meio de aplicativos (específicos para esse fim) ou de um utilitário gratuito,</p><p>o HTTrack. Caso não esteja mais disponível na internet, podemos usar alguns</p><p>Análise relacionada à pornografia infanto-juvenil 5</p><p>serviços que realizam cópias de conteúdos já existentes. Outra opção é o</p><p>serviço de cache do próprio buscador Google: ao fazer uma pesquisa por</p><p>assunto, o buscador exibirá um pequeno triângulo ao lado de cada resultado;</p><p>quando clicamos nele, temos acesso ao site que está armazenado em cache.</p><p>Depois de preservar a prova, o passo seguinte é a identificação do servidor</p><p>que hospeda a página. Há ferramentas de busca na internet que fazem o</p><p>serviço, sendo antes necessário verificar se a página é nacional ou estrangeira.</p><p>O resultado dessa pesquisa fornecerá informações importantes, como o</p><p>nome do responsável pelo domínio e o provedor.</p><p>Um tipo de comunicação tem sido frequentemente usado por adultos</p><p>para atrair e seduzir crianças ou para trocar fotos, vídeos e conteúdo de</p><p>pornografia infanto-juvenil: as salas de bate-papo. Elas obrigatoriamente</p><p>passam por um servidor de provedor, que pode manter logs das conversas</p><p>em seus domínios. De posse do nome ou apelido do investigado e da data/</p><p>horário em que ocorreu a conversa, os órgãos competentes deverão requerer</p><p>judicialmente a quebra do sigilo de dados telemáticos, para que o provedor</p><p>forneça o endereço IP utilizado pelo investigado, a data e a hora.</p><p>Nos telefones móveis, smartphones e tablets, o cuidado deve ser o mesmo</p><p>adotado em computadores pessoais e notebooks: isolamento, coleta, preser-</p><p>vação. Muitos são os tipos de vestígios encontrados nesses aparelhos, como</p><p>vestígios físicos de interesse em investigação ou que requeiram cuidados</p><p>especiais na manipulação, como impressões digitais e amostras de DNA, que</p><p>acabam criando um vínculo inquestionável entre o usuário do equipamento e</p><p>o conteúdo. Em aparelhos bloqueados por senhas geometricas, uma exposição</p><p>cuidadosa da tela do aparelho pode revelar o padrão de desbloqueio, uma</p><p>vez que ele é repetido diversas vezes em movimento contínuo de arraste</p><p>sobre a tela. O exame deve ser realizado imediatamente, pois o atrito entre a</p><p>tela do aparelho e os contatos durante a apreensão pode destruir o vestígio.</p><p>A coleta de dados voláteis em aparelhos portáteis deve ser feita da mesma</p><p>forma que em computadores. Se no</p><p>momento da apreensão o equipamento</p><p>portátil estiver ligado, pode haver informações voláteis importantes na</p><p>memória,  chaves da parte de sessões criptografadas ou, até mesmo, a senha</p><p>de desbloqueio do aparelho. Em equipamentos que estão conectados a um</p><p>computador durante a apreensão, interromper uma atualização de software</p><p>ou backup pode corromper o sistema de arquivos. Além disso, um processo</p><p>de sincronização pode estar em andamento, podendo causar a sobreposição</p><p>de dados nos dispositivos móveis.</p><p>Análise relacionada à pornografia infanto-juvenil6</p><p>Na extração de dados em celulares e tablets, quando é analisado o cartão</p><p>de memória, devem ser seguidos os mesmos procedimentos de exame de</p><p>mídias de armazenamento computacional clássica. As mídias são duplica-</p><p>das com bloqueadores de escrita, e os exames são feitos na cópia com as</p><p>ferramentas forenses apropriadas. Os cartões de memória em dispositivos</p><p>móveis servem para armazenar grandes quantidades de arquivos de mídia,</p><p>como fotos, vídeos e áudio. Os cartões SIM já requerem a utilização de ferra-</p><p>mentas forenses específicas, porque é um cartão inteligente, protegido por</p><p>criptografia. A extração de dados da memória interna dos aparelhos portáteis</p><p>pode ser feita de forma manual, lógica, física e avançada.</p><p>Aplicativos de mensagens instantâneas, como WhatsApp, Telegram e</p><p>Messenger também devem ser analisados. A troca de mensagens contendo</p><p>material de pornografia infanto-juvenil também é crime. Por mais que o</p><p>criminoso apague essas mensagens, é possível recuperar o conteúdo nos</p><p>backups que o aplicativo faz. Redes sociais, como Facebook, TikTok, Twitter,</p><p>entre outros, também não podem passar em branco durante uma perícia.</p><p>Por serem redes mundialmente usadas e de fácil acesso em vários dispositivos</p><p>digitais (notebooks, tablets, smartphones), os usuários que cometem algum</p><p>crime relacionado à pornografia infanto-juvenil as utilizam como parte do</p><p>seu modo de operação, para planejar e executar os crimes. Além disso, elas</p><p>facilitam o anonimato. Pela análise dessas redes sociais, podemos descobrir</p><p>de onde é o criminoso, com quem ele conversou, imagens que revelam o crime,</p><p>entre outras informações.</p><p>Informações inseridas nas rede sociais podem ser apagadas pelo usuário</p><p>a qualquer momento, mas é possível recuperá-las por meio de ferramentas</p><p>forenses específicas ou do histórico de armazenamento da própria rede social.</p><p>Conteúdos do Facebook e do Twitter, como fotos, mensagens, vídeos e links,</p><p>podem ser facilmente copiados para um dispositivo de armazenamento com</p><p>as mesmas técnicas usadas numa análise de página da web. Primeiro, deve-se</p><p>fazer a cópia de todo o conteúdo para preservar as informações. Se a rede</p><p>social estiver on-line, o conteúdo deve ser copiado por meio de aplicativos</p><p>específicos para este fim. Caso a rede social não esteja mais disponível na</p><p>internet, podemos usar serviços que realizam cópias de conteúdos já existen-</p><p>tes. Após a preservação da prova, deve-se indetificar o servidor que hospeda</p><p>a página para obter informações importantes, como o nome do responsável</p><p>pelo domínio e o provedor em que o site está hospedado. O Facebook e o</p><p>Twitter, por exemplo, dispõem de um recurso para baixar uma cópia dos dados.</p><p>Análise relacionada à pornografia infanto-juvenil 7</p><p>Algumas redes sociais e serviços de troca de mensagem, como WhatsApp,</p><p>utilizam a criptografia de ponta a ponta, recurso de segurança que protege</p><p>os dados durante uma troca de mensagens, de forma que o conteúdo só</p><p>possa ser acessado pelos dois extremos da comunicação: o remetente e o</p><p>destinatário. Isso significa que pessoas sem autorização, como peritos sem</p><p>um mandato judicial, não vão conseguir acesso aos dados, o que é um desafio</p><p>para as investigações, porque quebrar essa criptografia sem ter acesso ao</p><p>equipamento ainda não é possível. A identificação do usuário do Facebook</p><p>pode ocorrer de duas maneiras: pelo ID do usuário e pelo nome do próprio</p><p>usuário que aparece depois do domínio. No Twitter, a identificação é carac-</p><p>terizada pelo nome do usuário, logo após o domínio, na barra de endereços</p><p>do navegador. Essa ferramenta também tem uma identificação numérica</p><p>composta de uma quantidade variável, e é possível encontrá-la em sites que</p><p>oferecem esses serviços.</p><p>Outros vestígios podem ser encontrados nas redes sociais, como linha</p><p>do tempo, publicações, compartilhamentos, fotos, vídeos, localização, infor-</p><p>mações pessoais, interesses, publicações de amigos e grupos. O Facebook,</p><p>por exemplo, registra todas as atividades por meio de marcas temporais,</p><p>dados de extrema importância no ponto de vista forense, pois permitem que</p><p>os investigadores se certifiquem de quando o evento realmente ocorreu. Além</p><p>disso, o Facebook permite identificar se uma postagem na página originou-se</p><p>de um computador por meio de um navegador ou por um dispositivo móvel</p><p>como celular.</p><p>A identificação de arquivos de pornografia infanto-juvenil necessita con-</p><p>tinuamente de avanços, porque, normalmente, arquivos desse tipo estão</p><p>armazenado em dispositivos com milhões de outros arquivos. Usar técnicas</p><p>computacionais e ferramentas automatizadas que auxiliem na identificação</p><p>desse tipo de conteúdo é fundamental para o sucesso das análises. Nesses</p><p>casos, os exames podem ser realizados no local do crime, com busca e apre-</p><p>ensão, ou em laboratório. Nos exames em locais de crime, podemos encontrar</p><p>diversos dispositivos de armazenamento com dados no formato digital, como</p><p>celulares, tablets, câmeras, filmadoras, computadores, etc. Durante a busca,</p><p>deve-se ter atenção às novas tecnologias, para que todos os materiais que</p><p>possam ter relação com o fato investigado sejam considerados e, havendo</p><p>indícios de crimes, deve-se garantir a preservação dos dados contidos nesses</p><p>dispositivos.</p><p>Análise relacionada à pornografia infanto-juvenil8</p><p>Manter, em qualquer dispositivo, fotos e vídeos com cenas de sexo</p><p>explícito ou pornográficas envolvendo crianças e adolescentes é o</p><p>mesmo que armazená-las e constitui a posse de pornografia infanto-juvenil.</p><p>Se algum amigo, parente, conhecido ou desconhecido enviar a você materiais</p><p>dessa natureza para demonstrar sua indignação ou com o objetivo ajudar a</p><p>identificar e localizar os criminosos, apague imediatamente e avise-o de que</p><p>essa conduta também configura uma forma de violência sexual: o crime de</p><p>divulgação de pornografia infanto-juvenil. Se você armazena, também pratica</p><p>crime e pode ser responsabilizado por isso.</p><p>Legislação</p><p>Os meios de violência sexual contra crianças e adolescentes têm crescido</p><p>muito nas últimas décadas, sobretudo devido ao fácil acesso à internet,</p><p>à modernização dos meios de comunicação e à variedade de equipamentos e</p><p>mecanismos para captura de imagens e vídeos, como smartphones, câmeras</p><p>e filmadoras digitais.</p><p>Os crimes relacionados ao abuso e à exploração sexual de crianças e ado-</p><p>lescentes estão previstos nos arts. 240 a 241-E do Estatuto da Criança e do</p><p>Adolescente (ECA), Lei nº 8.069, de 13 de julho de 1990. O art. 240 (BRASIL, 2019)</p><p>inclui nesses crimes produzir, reproduzir, dirigir, fotografar, filmar ou registrar</p><p>cenas de sexo explícito ou pornográficas envolvendo crianças e adolescentes</p><p>com o objetivo de satisfazer o próprio agressor ou para comercialização. A pena</p><p>é de quatro a oito anos de prisão e multa. Essa punição também se aplica a quem</p><p>agencia, facilita, recruta, coage ou intermedeia a participação de menores em</p><p>cenas de sexo explícito ou pornográfica, bem como quem com eles contracena.</p><p>O art. 241 do ECA (BRASIL, 2019) prevê que é crime a venda de pornografia</p><p>infanto-juvenil, incluindo a comercialização e exposição à venda de foto-</p><p>grafias, vídeos ou outros registros que contenham cenas de sexo explícito</p><p>ou pornográficas envolvendo criança ou adolescente. A pena é de quatro a</p><p>oito anos prisão e multa. O mesmo artigo prevê a divulgação de pornografia</p><p>infanto-juvenil, praticada por quem oferecer, trocar, transmitir, distribuir,</p><p>publicar ou divulgar imagens, vídeos ou outro</p><p>registro contendo cena de sexo</p><p>explícito ou pornográficas envolvendo menores por qualquer meio, inclusive</p><p>por meio de sistema de informática ou telemático. A pena é de três a seis</p><p>anos de prisão e multa, que será igualmente imposta àquele que garante os</p><p>meios ou serviços para que se proceda ao armazenamento desse conteúdo</p><p>e/ou assegura o acesso a ele pela internet. Também ocorre a violência sexual</p><p>Análise relacionada à pornografia infanto-juvenil 9</p><p>contra menores quando há posse de pornografia infanto-juvenil, que se</p><p>materializa no adquirir, possuir ou armazenar, por qualquer meio, fotografia,</p><p>vídeo ou outra forma de registro que contenha cena de sexo explícito ou</p><p>pornográfica envolvendo criança ou adolescente (BRASIL, 2019, art. 241-B).</p><p>A pena varia de um a quatro anos de prisão e multa.</p><p>Além disso, é crime, segundo o ECA (BRASIL, 2019, p. 115, art. 241-D),</p><p>o aliciamento de crianças, que consiste em “[…] aliciar, assediar, instigar ou</p><p>constranger, por qualquer meio de comunicação, criança, com o fim de com</p><p>ela praticar ato libidinoso”. As punições para este crime são de um a três anos</p><p>de prisão e a multa, que também são aplicadas a quem facilita ou induz o</p><p>acesso da criança a material pornográfico objetivando com ela praticar ato</p><p>libidinoso. Um exemplo ocorre na situação em que o adulto mostra a porno-</p><p>grafia para a criança com a intenção de despertar nela o interesse sexual e,</p><p>depois, praticarem atos libidinosos. Também caracteriza esse crime praticar</p><p>o aliciamento com o intuito de induzir a criança a se exibir de forma porno-</p><p>gráfica ou sexualmente explícita (BRASIL, 2019, art. 241-D, § 1o, II). É o caso,</p><p>por exemplo, do criminoso que pede à criança que se exiba nua, seminua ou</p><p>em poses eróticas diante de uma webcam ou pessoalmente.</p><p>O aliciamento de crianças consubstancia-se na conduta conhecida</p><p>pela expressão em inglês child grooming, isto é, assédio sexual pela</p><p>internet, que se desenvolve por contatos assíduos e regulares e pode envolver</p><p>a lisonja, a simpatia, a oferta de presentes, dinheiro, supostos trabalhos de</p><p>modelo, chantagem e intimidação.</p><p>Por fim, constitui uma forma de violência sexual a submissão de criança ou</p><p>adolescente à prostituição ou à exploração sexual, com pena de 4 a 10 anos</p><p>de prisão, multa e perda de bens e valores empregados na prática criminosa</p><p>em benefício do Fundo dos Direitos da Criança e do Adolescente do respectivo</p><p>Estado ou Distrito Federal em que foi praticado o crime, ressalvado o direito de</p><p>terceiro de boa-fé (BRASIL, 2019, art. 244-A). Essas mesmas penas são aplicadas</p><p>em relação ao proprietário, gerente ou responsável pelo estabelecimento</p><p>em que se constate a submissão de criança ou adolescente às práticas de</p><p>prostituição ou à exploração sexual. Um efeito obrigatório da condenação é</p><p>a cassação da licença de localização e funcionamento do estabelecimento</p><p>acima referido (BRASIL, 2019, art. 244-A, §§ 1º e 2º).</p><p>Análise relacionada à pornografia infanto-juvenil10</p><p>A produção de pornografia infanto-juvenil simulada também está</p><p>classificada como crime de exploração sexual de crianças e adoles-</p><p>centes. Trata-se da montagem, isto é, da conduta de “[…] simular a participação</p><p>de criança ou adolescente em cena de sexo explícito ou pornográfica por meio</p><p>de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer</p><p>outra forma de representação visual” (BRASIL, 2019, p. 114, art. 241-C). A pena é</p><p>de um a três anos de prisão e multa.</p><p>Metodologias e ferramentas para</p><p>exames na internet</p><p>Criminosos sexuais normalmente tentam conquistar a confiança dos meno-</p><p>res, tornando-se seus “amigos virtuais”. Utilizam chats e redes sociais para</p><p>se aproximarem de suas vítimas, principalmente pela facilidade de acesso</p><p>dos smartphones. Inúmeras crianças com pouca idade já têm acesso a esses</p><p>aparelhos e utilizam diversos aplicativos de comunicação instantânea, como</p><p>WhatsApp, Skype, Telegram, Facebook, Likee, TikTok, entre outros. Confira a</p><p>seguir possíveis ferramentas e métodos para encontrar esses criminosos</p><p>dependendo do meio examinado.</p><p>� Endereços IP: é um dos principais vestígios que podemos encontrar.</p><p>Deve estar acompanhado de data, hora exata da conexão e fuso horário</p><p>do sistema. Para identificar qual provedor nacional é responsável por</p><p>determinado endereço IP, podemos usar ferramentas on-line de con-</p><p>sulta a registros. O site What is my IP, por exemplo, fornece informações</p><p>sobre um endereço IP localizado no exterior.</p><p>� E-mails: é preciso preservar o conteúdo da mensagem e identificar</p><p>remetente e destinatário, sendo o objetivo final descobrir o endereço</p><p>IP, a data, a hora e o fuso horário da transmissão. Os cabeçalhos das</p><p>mensagens têm muitas informações, como várias linhas começando</p><p>com a palavra received, que marca por quantos servidores a mensagem</p><p>passou antes de chegar ao destinatário.</p><p>� Páginas web: o objetivo é verificar o conteúdo e determinar os res-</p><p>ponsáveis pela publicação. Deve-se realizar a cópia de todo o con-</p><p>teúdo do site, para ter acesso off-line e preservar as evidências caso</p><p>ele saia do ar. Na análise on-line, a cópia do conteúdo pode ser feita</p><p>por aplicativos como WGET e HT-Track, que permitem baixar todo o</p><p>Análise relacionada à pornografia infanto-juvenil 11</p><p>site ou partes dele. Para identificar o servidor que hospeda a página,</p><p>há ferramentas de busca na internet, como o TLD. A pesquisa retornará</p><p>o nome dos responsáveis pelo domínio e o provedor em que a página</p><p>está hospedada.</p><p>� Comunicação instantânea: passa por servidores de provedor que dis-</p><p>ponibilizam as salas de chat e podem manter logs de conversas em seu</p><p>domínio. Sabendo o nome ou o apelido usado pelo suspeito, a data e o</p><p>horário que ocorreram as conversas, deverá ser requerida judicialmente</p><p>a quebra do sigilo de dados telemáticos, para que o provedor forneça</p><p>o endereço IP utilizado pelo suspeito, a data e o horário.</p><p>� Deep web: são necessárias técnicas e procedimentos na tentativa de</p><p>identificar origem, destino e conteúdo do tráfego de dados, como</p><p>extração de metadados de fotos e vídeos publicados na deep web,</p><p>captura de características do navegador usado, resolução, idioma,</p><p>fontes instaladas, etc.</p><p>� Redes sociais: informações inseridas nas redes sociais são sensíveis e</p><p>podem ser apagadas pelo usuário a qualquer momento. No entanto, é</p><p>possível recuperá-las com ferramentas forenses específicas ou com</p><p>o histórico de armazenamento da rede social.</p><p>Análise de vestígios</p><p>A análise desse tipo de material segue uma metodologia de trabalho para</p><p>o manejo das evidências digitais dividida em quatro etapas: identificação,</p><p>preservação, análise e apresentação dos resultados. Em todas as etapas, os</p><p>procedimentos devem ser padronizados. Utilizam-se técnicas e ferramentas,</p><p>atentando-se a dar respostas aos pontos solicitados em juízo.</p><p>Busca ao vivo</p><p>Depois que todas as evidências foram processadas com algum software</p><p>forense, cada um dos elementos obtidos pelo software é comparado com os</p><p>objetos da pesquisa. Tem a vantagem de ser muito simples, mas a desvan-</p><p>tagem de ser muito lenta e sujeita a erros, como a modificação das provas</p><p>durante o manuseio.</p><p>Análise relacionada à pornografia infanto-juvenil12</p><p>Filtro de imagem</p><p>Permite selecionar um subconjunto dos elementos analisados aplicando</p><p>alguns critérios, sendo uma maneira de limitar o tempo da pesquisa ao vivo.</p><p>Usando um software forense, pode-se optar por exportar apenas arquivos</p><p>de imagem para pesquisar esse subconjunto de evidências. É uma técnica</p><p>mais rápida que a anterior, pois descarta os arquivos que não devem ser</p><p>verificados, mas também está sujeita a erros.</p><p>Filtro de metadados</p><p>Metadados são dados que servem para descrever a estrutura do conjunto</p><p>de um dado principal, como data de criação, tamanho, etc., evidenciando a</p><p>utilidade das informações dos dados. Por exemplo, os dados EXIF contêm</p><p>informações sobre como uma fotografia foi tirada, incluindo a câmera (marca,</p><p>modelo, etc.). Usando os metadados das imagens pesquisadas, os</p><p>filtros podem</p><p>ser refinados. Sabendo o tamanho, a data de modificação ou os dados EXIF</p><p>das imagens pesquisadas, o software forense pode ser configurado para filtrar</p><p>as imagens que correspondem a esses valores com as imagens pesquisadas.</p><p>Os metadados podem ser verificados, além de em imagens e fotos, em</p><p>arquivos de extensões variadas, como editores de texto (doc, pdf, ppt, etc.).</p><p>Quando um arquivo é copiado, carregado ou baixado em qualquer lugar,</p><p>seus metadados o acompanham. A visualização não ocorre pela execução</p><p>do arquivo propriamente dito, mas pode ocorrer por vários caminhos, que</p><p>apresentarão diversos níveis de acesso a informações gravadas nos arquivos.</p><p>A análise dos metadados dos arquivos funciona como valioso recurso de coleta</p><p>de dados, traduzindo-se como verdadeira impressão digital daquele arquivo,</p><p>possibilitando individualizar sua criação, modificação, origem, marcação</p><p>geográfica, entre outros.</p><p>Filtro de tom de pele</p><p>Algumas ferramentas forenses incluem um analisador de tom de pele entre</p><p>suas funções. Essas ferramentas têm a capacidade de identificar de forma</p><p>rápida e eficaz os arquivos de interesse com base na porcentagem do tom</p><p>de pele contido nele. Para isso, utilizam tecnologia de análise de imagens</p><p>baseadas em pixels. Feita essa análise, é gerada uma galeria organizada por</p><p>conteúdo de tons de pele. Isso torna possível acelerar a busca por vestígios</p><p>Análise relacionada à pornografia infanto-juvenil 13</p><p>de pornografia infantil. A vantagem dessa técnica é a automação de parte</p><p>do reconhecimento de fotos.</p><p>Hashes de arquivo</p><p>As funções hash são algoritmos que conseguem criar começando de uma</p><p>entrada (um arquivo, por exemplo) e uma saída alfanumérica de comprimento</p><p>fixo, que representa um resumo de todas as informações dadas. A partir</p><p>dos dados de entrada, cria-se uma string que só pode ser recriada com os</p><p>mesmos dados.</p><p>Com a utilização dos hash podemos identificar e remover arquivos co-</p><p>nhecidos, o que permite excluir arquivos não relevantes para a investigação</p><p>e aplicativos conhecidos e de sistemas operacionais. O analista pode usar</p><p>bancos de dados hashes validados ou bases de dados próprias geradas a</p><p>partir da criação de uma lista de hashes criptográficos de aplicativos e sis-</p><p>temas operacionais verificados. As vantagens dessa técnica são a redução de</p><p>tempo para procurar e a possibilidade de ter bancos de dados consistentes.</p><p>A principal desvantagem é que pequenas modificações em um arquivo (um</p><p>bit) geram diferentes valores de hash. Essa técnica não será mais útil se a</p><p>imagem pesquisada tiver sofrido qualquer modificação de forma ou tamanho.</p><p>Nomes dos arquivos</p><p>O compartilhamento de arquivos de pornografia infanto-juvenil pela internet</p><p>é o grande motivador para o uso dessa técnica. Inúmeros arquivos dessa</p><p>natureza são trocados com o uso de programas do tipo P2P. Para encontrar</p><p>arquivos nesses programas, utilizam-se expressões e palavras-chave típicas</p><p>relacionadas à pornografia infanto-juvenil. Essa técnica tem a vantagem de</p><p>ser muito rápida, já que não envolve operações demoradas de leitura de disco.</p><p>É importante abordar quais são os critérios para classificar um conte-</p><p>údo como ilegal ou não. A seleção de arquivos no exame de informática</p><p>tem apenas o intuito de reduzir o volume de dados para facilitar a compreensão</p><p>do laudo. Considerando uma grande quantidade de arquivos, é possível destacar</p><p>imagens e vídeos nitidamente contendo crianças, bem como descartar material</p><p>que apenas contém claramente adultos. Entretanto, haverá cenas em que é inviável</p><p>Análise relacionada à pornografia infanto-juvenil14</p><p>determinar se os indivíduos são adolescentes ou jovens adultos. Nos exames</p><p>periciais, esses arquivos duvidosos podem eventualmente ser adicionados ao</p><p>laudo com ressalvas, por não se tratar de conteúdo claramente infanto-juvenil.</p><p>Nesses casos, resta somente a tentativa de localizar os indivíduos retratados</p><p>para verificar a idade deles à época da realização das fotografias ou vídeos.</p><p>Finalmente, podem ser necessárias técnicas adequadas de amostragem para</p><p>contabilizar as imagens de nudez ou sexo envolvendo crianças ou adolescentes</p><p>num conjunto demasiadamente grande de arquivos de pornografia. Durante toda</p><p>a análise, deve-se garantir a privacidade do menor envolvido.</p><p>Referências</p><p>BARRETO, A. G.; BRASIL, B. S. Manual de investigação cibernética: à luz do marco civil</p><p>da internet. São Paulo: Brasport, 2016.</p><p>BRASIL. Estatuto da Criança e do Adolescente: Lei Federal n. 8.069, de 13 de julho de 1990.</p><p>Brasília, DF: Ministério da Mulher, da Família e dos Direitos Humanos, 2019. Disponível</p><p>em: https://www.gov.br/mdh/pt-br/centrais-de-conteudo/crianca-e-adolescente/</p><p>estatuto-da-crianca-e-do-adolescente-versao-2019.pdf. Acesso em: 26 ago. 2021.</p><p>Leituras recomendadas</p><p>CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO</p><p>BRASIL. Internet segura para seus filhos. São Paulo: CERT.br, [2021]. Disponível em:</p><p>https://internetsegura.br/pdf/guia-internet-segura-pais.pdf. Acesso em: 26 ago. 2021.</p><p>EXPLORAÇÃO sexual infantil afeta todos nós: vídeo 2. [S. l.: s. n.], 2014. Publicado pelo</p><p>canal GVT: Banda Larga, TV por Assinatura e Telefonia Fixa. Disponível em: https://</p><p>www.youtube.com/watch?v=84VGPqx7x2w&feature=youtu.be. Acesso em: 26 ago. 2021.</p><p>NILLES, G.; SILVA, G. Perícias informáticas para casos de pornografia infantil. [S. l.: s.n.],</p><p>2016. Disponível em: http://search.ebscohost.com/login.aspx?direct=true&db=edsbas</p><p>&AN=edsbas.F66E836D&lang=pt-br&site=eds-live&scope=site. Acesso em: 15 jul. 2021.</p><p>PACHECO, A.; CABRAL, C. A efetivação da proteção integral a partir do campo psicossocial:</p><p>considerações sobre a violência doméstica contra a criança. In: CHILDHOOD BRASIL.</p><p>Violência sexual contra crianças e adolescentes: novos olhares sobre diferentes formas</p><p>de violações. São Paulo: Childhood Brasil, 2013. p. 145-176. Disponível em: http://crianca.</p><p>mppr.mp.br/pagina-1869.html. Acesso em: 26 ago. 2021.</p><p>POLASTRO, M. de C.; ELEUTÉRIO, P. M. da S. Exames relacionados à pornografia infato-</p><p>juvenil. In: VELHO, J. A. (org.). Tratado de computação forense. Campinas: Millennium,</p><p>2016. p. 245-287.</p><p>SANTOS, B. R. Guia de referência: construindo uma cultura de prevenção à violência</p><p>sexual. São Paulo: Childhood Brasil, 2009.</p><p>Análise relacionada à pornografia infanto-juvenil 15</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise relacionada à pornografia infanto-juvenil16</p><p>Dica do professor</p><p>A pornografia infantojuvenil na web vem crescendo cada dia mais. A possibilidade dos abusadores</p><p>de ficarem no anonimato, associada à situação da pandemia, que faz com que crianças e</p><p>adolescente passem mais tempo conectados, acarretou o aumento desse tipo de crime.</p><p>Nesta Dica do Professor, veja como acessar os históricos de navegação de computadores, uma das</p><p>formas de localizar acessos a sites que praticam esse tipo de delito.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/9477b0b1ae6b0f5e8e1c72b3414bb5ae</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Estatuto da Criança e do Adolescente (ECA)</p><p>Para atuar na área de análise relacionada à pornografia infantojuvenil, além de realizar a análise em</p><p>si, deve-se estar ciente de alguns termos. Por isso, é de extrema importância a leitura do Estatuto</p><p>da Criança e do Adolescente (ECA). Acesse o documento neste link.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Abordagem passiva para reconhecimento de</p><p>adulterações em</p><p>imagens digitais utilizando a análise do padrão CFA e do BAG</p><p>A análise relacionada à pornografia infantojuvenil é feita também mediante análise em imagens</p><p>digitais. Este artigo apresenta um método de reconhecimento de adulteração em imagens com e</p><p>sem compressão no formato JPEG.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Entre o perigo da indiferença e o risco de ser afetado</p><p>O objetivo deste estudo foi verificar os efeitos das emoções para pensar o trabalho moral exercido</p><p>com relação ao olhar investigativo policial diante de imagens de pornografia infantil.</p><p>https://www.gov.br/mdh/pt-br/centrais-de-conteudo/crianca-e-adolescente/estatuto-da-crianca-e-do-adolescente-versao-2019.pdf</p><p>http://seer.upf.br/index.php/rbca/article/view/6098</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Da materialidade dos corpos à materialidade do crime: a</p><p>materialização da pornografia infantil em investigações</p><p>policiais</p><p>O objetivo deste estudo foi discutir a definição das imagens que podem ser classificadas como</p><p>"pornográficas" e os corpos que podem ser identificados como "infantis":</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Lei no 13.709, de14 de agosto de 2018</p><p>Dados de crianças e adolescentes encontrados em uma análise pericial devem ser tratados com</p><p>cuidado. Estes dados se enquadram como "dados pessoais sensíveis", conforme a LGPD, em seu</p><p>artigo 11. Confira, neste link, o texto da lei na íntegra.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Nascidos na era digital: entendendo a primeira geração de</p><p>nativos digitais</p><p>No Capítulo 4 deste livro, você pode saber um pouco mais sobre privacidade e segurança digital e</p><p>de que forma essas questões podem interferir na vida de uma criança.</p><p>Conteúdo interativo disponível na plataforma de ensino!</p><p>https://doaj.org/article/b3419910cde943569a6d258a6bcaa591</p><p>https://www.scielo.br/j/mana/a/WLGV7MhrvXczStzPx7kfPgw/?lang=pt</p><p>http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm</p><p>Análise em computação embarcada</p><p>Apresentação</p><p>A expressão computação embarcada não é tão comum no dia a dia, porém é extremamente</p><p>utilizada na prática. Com o mundo e o meio cada vez mais dependentes da tecnologia, a</p><p>computação passou a integrar a vida de todos. A computação embarcada é um sistema</p><p>computacional projetado para o desempenho de uma função específica, uma vez que tem recursos</p><p>específicos para determinada tarefa, diferentemente de um sistema computacional normal, que</p><p>pode desempenhar inúmeras funções independentes umas das outras.</p><p>Assim, todo equipamento com função específica tem computação embarcada, como carros,</p><p>smartTV e outros dispositivos que têm conexão digital. Devido à conexão digital, esses dispositivos,</p><p>que têm características tão particulares, também são passíveis de perícia. No entanto, o hardware</p><p>limitado também torna a perícia mais limitada, uma vez que não é possível aplicar ferramentas de</p><p>perícia tradicionais e, na maioria dos casos, há dependência dos sistemas dos fabricantes.</p><p>Nesta Unidade de Aprendizagem, você vai conferir quais são os dispositivos de computação</p><p>embarcada, bem como o seu funcionamento. Além disso, vai conferir os itens que podem ser</p><p>periciados e suas particularidades. Por fim, você vai conferir como é realizada a análise dos</p><p>vestígios nesses equipamentos tão peculiares.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados e suas peculiaridades.•</p><p>Descrever a metodologia e as ferramentas para realizar os exames na internet.•</p><p>Explicar a análise dos vestígios.•</p><p>Infográfico</p><p>A Internet das Coisas (IoT) tem uma história mais longa do que a maioria das pessoas pensam. A IoT</p><p>vem crescendo muito atualmente, devido aos componentes mais baratos e com baixo consumo de</p><p>energia, bem como a uma internet de melhor qualidade, o que faz o interesse das pessoas por essa</p><p>tecnologia aumentar cada vez mais.</p><p>Com isso, a computação embarcada também aumenta, pois os dispositivos IoT precisam de</p><p>equipamentos com hardware simples que executem o que for preciso com um bom desempenho e</p><p>agilidade. Contudo, o crescimento de ambas as tecnologias também aumenta a possibilidade de uso</p><p>desses equipamentos por criminosos, assim como as tentativas de invasão a esses ambientes. Tudo</p><p>isso impõe a necessidade de que haja profissionais que consigam analisar esses ambientes</p><p>específicos e com hardware mais limitado, quando comparados aos computadores tradicionais.</p><p>Neste Infográfico, confira uma linha do tempo sobre a IoT, mostrando o quanto essa tecnologia tem</p><p>evoluído e os desafios que vem surgindo, considerando a análise de computação embarcada em</p><p>dispositivos de IoT.</p><p>Conteúdo interativo disponível na plataforma de ensino!</p><p>Conteúdo do livro</p><p>Quanto mais a tecnologia evolui, mais o ser humano se torna dependente dela. A prova disso é que,</p><p>hoje, a tecnologia está presente nas comunicações, na educação, em equipamentos médicos, enfim,</p><p>no dia a dia como um todo. O aumento do uso de dispositivos móveis e a crescente evolução da</p><p>IoT tornam casas, carros e cidades inteligentes. Portanto, os sistemas embarcados também se</p><p>tornaram parte do cotidiano da sociedade.</p><p>Além das vantagens que a tecnologia proporciona para a sociedade em geral, ela proporciona uma</p><p>maior "munição" para cibercriminosos, que a utilizam para tornar seus ataques cada vez mais</p><p>sofisticados e poderosos. Assim, para desvendar cibercrimes, utiliza-se a forense computacional.</p><p>Nesse contexto, os dispositivos de computação embarcada funcionam como uma grande fonte de</p><p>informações, que podem ser utilizadas para auxiliar na resolução de crimes. No entanto, existem</p><p>algumas dificuldades em relação à realização de exames periciais nesses dispositivos e sistemas.</p><p>No capítulo Análise em computação embarcada, base teórica desta Unidade de Aprendizagem,</p><p>você vai conferir o que é computação embarcada. Além disso, vai conferir as possibilidades de</p><p>perícia existentes nesses dispositivos. Por fim, você vai conferir a metodologia e as ferramentas que</p><p>podem ser utilizadas para realizar exames de perícia e a análise dos vestígios encontrados nessa</p><p>tecnologia.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na in-</p><p>ternet.</p><p>> Explicar a análise de vestígios.</p><p>Introdução</p><p>Atualmente, a tecnologia faz parte de nossas vidas nas mais diversas áreas,</p><p>desde o relógio que usamos no pulso até áreas globais como a educação, a saúde,</p><p>as organizações. Com o surgimento da Internet das Coisas (Internet of Things —</p><p>IoT) e proliferação de dispositivos portáteis, os sistemas embarcados se tornam</p><p>cada vez mais presentes em nosso cotidiano. Apesar das vantagens, facilidades</p><p>e benefícios dessa tecnologia, os crimes digitais se tornam cada vez mais so-</p><p>fisticados, obrigando que a computação forense também esteja em constante</p><p>aperfeiçoamento. Nesse âmbito, os dispositivos que possuem computação em-</p><p>barcada são fontes repletas de informações que podem auxiliar na resolução de</p><p>crimes, não apenas os digitais, mas em diferentes áreas das ciências forenses.</p><p>Neste capítulo, você entenderá o que é computação embarcada e conhecerá</p><p>os principais itens envolvendo essa tecnologia que podem ser periciados, bem</p><p>como as metodologias e ferramentas que podem ser aplicadas para examinar</p><p>as evidências. Por fim, verá como funciona a análise dos vestígios encontrados.</p><p>Análise em</p><p>computação</p><p>embarcada</p><p>Juliane Adélia Soares</p><p>Definições de computação embarcada</p><p>Sistemas embarcados são sistemas de hardware baseados em microproces-</p><p>sador com software projetado para que funções dedicadas sejam executa-</p><p>das. Podem funcionar como independentes ou como</p><p>parte de um sistema</p><p>maior. Tais sistemas podem envolver desde um único microcontrolador a um</p><p>conjunto de processadores com periféricos conectados à rede. Além disso,</p><p>podem oferecer interface gráfica de usuários ou não. Sua complexidade está</p><p>diretamente relacionada à tarefa para qual ele é projetado (OMNISCI, 2021).</p><p>Os sistemas de computação embarcada fazem parte de nossas vidas na</p><p>forma de dispositivos de consumo, como consoles de jogos e smartphones,</p><p>além de dispositivos eletrônicos com controle menos visíveis, em diferentes</p><p>aspectos da operação de um carro, por exemplo.</p><p>A Figura 1 ilustra a diversidade de ambientes e domínios onde operam</p><p>sistemas embarcados. Nas residências, sistemas embarcados são utilizados</p><p>para controle e monitoramento de eletrodomésticos como micro-ondas, ge-</p><p>ladeiras, máquinas de lavar e sistemas de segurança sofisticados e sensíveis,</p><p>que monitoram câmeras, podendo se comunicar com sistemas remotos via</p><p>internet. Sistemas embarcados também controlam veículos, desde o controle</p><p>da injeção de combustível ao monitoramento de emissões, gerenciando infinitas</p><p>informações mediante recursos visuais para a exibição da operação dos veículos.</p><p>Figura 1. Computação incorporada no dia a dia.</p><p>Fonte: Adaptada de Cardoso, Coutinho e Diniz (2017).</p><p>Sistemas</p><p>embarcados</p><p>Internet</p><p>das Coisas (IoT)</p><p>Automação</p><p>residencial</p><p>Smartphone</p><p>Energia</p><p>Mobilidade</p><p>Saúde</p><p>Cidade inteligente</p><p>Análise em computação embarcada2</p><p>Segundo Cardoso, Coutinho e Diniz (2017), os sistemas embarcados também</p><p>monitoram sistemas de transporte público, que se conectam a estações</p><p>centrais, de modo que seja realizada a programação on-line de ônibus e</p><p>trens, fornecendo em tempo real as atualizações do horário de chegada em</p><p>todas as paradas de todas as linhas de transporte. Em escritórios, é possível</p><p>encontrar a computação embarcada em pequenos dispositivos eletrônicos</p><p>como impressoras, câmeras, sistemas de segurança e até na iluminação.</p><p>Ainda sobre a Figura 1, os smartphones estão em constante evolução,</p><p>ganhando muito em integração tecnológica. Esses sistemas embarcados de</p><p>ponta incluem processadores multicore, WiFi, Bluetooth e telas sensíveis ao</p><p>toque, oferecendo desempenho compatível com sistemas de multiprocessa-</p><p>mento disponíveis para a resolução de problemas de computação científica</p><p>e de engenharia. Em relação à energia, os sistemas embarcados ajudam a</p><p>reduzir a emissão de CO2, além de aumentar a eficiência energética. Esses</p><p>sistemas também trazem benefícios para a mobilidade urbana, reduzindo o</p><p>tráfego e os congestionamentos, assim como para a saúde, reduzindo custos</p><p>e melhorando a eficácia (CARDOSO; COUTINHO; DINIZ, 2017).</p><p>De acordo com Antônio Velho (2016), um dispositivo é considerado embar-</p><p>cado quando é dedicado à uma tarefa única, interagindo de modo contínuo</p><p>com o ambiente à sua volta por meio de sensores e atuadores. Os sensores são</p><p>responsáveis por medir e converter dados de detecção física em sinal elétrico,</p><p>enquanto os atuadores realizam a comparação entre a saída real e a saída</p><p>armazenada na memória, escolhendo a correta. As principais características</p><p>são a capacidade computacional e a independência de operação. Os sistemas</p><p>embarcados são compostos por uma unidade de processamento, que é a</p><p>fixação de um circuito integrado em uma placa de circuito impresso. A capa-</p><p>cidade de processamento de informações parte de um software processado</p><p>internamente na unidade, o que significa que o software está embarcado na</p><p>unidade de processamento. Todo e qualquer software embarcado é chamado</p><p>de firmware — um conjunto de instruções operacionais que são programadas</p><p>no hardware de modo direto.</p><p>Os sistemas construídos com o propósito de cumprir tarefas específicas,</p><p>de uma maneira geral, são chamados de sistemas dedicados, e são subdivi-</p><p>didos em sistemas integrados, embutidos e embarcados. Embora, na maioria</p><p>dos casos, as três nomenclaturas sejam usadas como sinônimas, essas subca-</p><p>tegorias apresentam diferenças entre si, sendo importante destacá-las, pois</p><p>possuem relevância no campo da perícia. Vejamos a seguir alguns detalhes</p><p>de cada uma delas (ANTÔNIO VELHO, 2016).</p><p>Análise em computação embarcada 3</p><p>Sistemas integrados</p><p>Esses sistemas são compostos por uma base-padrão de software e</p><p>hardware adaptados para executar uma tarefa específica. Um exemplo seria</p><p>um terminal de caixa de supermercado, que basicamente é um computador</p><p>comum executando um programa aplicativo, cuja operação é controlada por</p><p>um sistema operacional-padrão, que utiliza periféricos específicos para a</p><p>aplicação, conectados através de interfaces-padrão.</p><p>Os sistemas integrados pouco diferem dos sistemas computadorizados</p><p>comuns, apresentando semelhanças em termos de arquitetura, componentes,</p><p>conexões e princípios de informações. Dessa forma, para análise pericial desse</p><p>tipo de sistema, empregam-se as mesmas técnicas utilizadas em sistemas</p><p>computadorizados.</p><p>Sistemas embutidos</p><p>Ao contrário dos sistemas integrados, os sistemas embutidos são incorporados</p><p>fisicamente ao equipamento em que estão alojados, sendo projetados desde</p><p>sua concepção para a realização de tarefas específicas, como nas smart TVs,</p><p>por exemplo.</p><p>Os sistemas embutidos, como nas descrições já citadas de forma geral</p><p>sobre sistemas embarcados, são construídos utilizando um ou mais micro-</p><p>processadores compostos de circuitos eletrônicos de interface com função de</p><p>sensores e atuadores, apresentando a capacidade de controle das condições</p><p>de seu ambiente físico e podendo responder às suas alterações. Dessa forma,</p><p>o computador embutido é um dispositivo computacional incorporado como</p><p>parte integrante do sistema que será controlado, ficando responsável por</p><p>realizar operações lógicas que são estabelecidas a partir de um programa</p><p>fixo ou mutável. Suas ações e reações têm como base a lógica e as variáveis</p><p>do processo que está sendo controlado.</p><p>Esses sistemas são construídos com recursos reduzidos, restringindo-se</p><p>apenas ao que for realmente necessário para a realização de suas funções.</p><p>Sendo assim, geralmente possuem pouquíssima capacidade de memória</p><p>interna e limitada potência de processamento. Tais sistemas podem ser</p><p>incorporados em praticamente qualquer coisa, sendo computadores criados</p><p>pela combinação de hardware e software específicos para a aplicação.</p><p>Análise em computação embarcada4</p><p>Apesar da maioria das pessoas não se dar conta da existência desses</p><p>sistemas e não o reconhecer como computadores, os sistemas embutidos</p><p>estão presentes numa infinidade de equipamentos muito utilizados, como</p><p>máquinas industriais, equipamentos médicos, câmeras, brinquedos, eletro-</p><p>domésticos, embarcações, aeronaves e veículos automotores de via terrestre.</p><p>Sistemas embarcados</p><p>Antônio Velho (2016) situa os sistemas embarcados como uma subcategoria</p><p>de sistemas embutidos, na condição de sistemas embutidos presentes nos</p><p>veículos. Os sistemas embarcados são sistemas que fazem parte da compo-</p><p>sição da funcionalidade do veículo. A internet fornece aos desenvolvedores</p><p>de sistemas embarcados uma interface web, através de conexões de redes,</p><p>dispensando a necessidade de custos com telas sofisticadas.</p><p>Geralmente, esses sistemas residem em máquinas projetadas para tra-</p><p>balhar continuamente por anos sem erros e capazes, se necessário, de se</p><p>recuperar de falhas automaticamente. Para isso, o software é desenvolvido</p><p>e testado com maiores cuidados comparados a computadores pessoais.</p><p>A autorrecuperação de erros é realizada por uma técnica chamada watchdog</p><p>timer, que reinicia o sistema ao identificar uma falha. Devido a isso, a perícia</p><p>desses ambientes torna-se muito mais complexa.</p><p>Na literatura desse ramo em língua inglesa, a expressão embedded systems</p><p>é utilizada para se referir a sistemas embarcados de maneira geral, e não</p><p>estritamente aos embarcados em veículos, e significa, em tradução literal,</p><p>sistemas embutidos. Para fins deste capítulo, sistemas embarcados serão</p><p>abordados em um contexto geral, considerando a infinidade de dispositivos</p><p>que podem incluir os sistemas embutidos. As metodologias e análises forenses</p><p>nesses dispositivos serão discutidas nas próximas sessões.</p><p>Exames na computação embarcada</p><p>Os dispositivos embarcados tornaram-se muito populares e fornecem alta</p><p>disponibilidade. Uma vantagem dessa tecnologia é que podem ser fontes</p><p>de informações relevantes para a elucidação de crimes. Porém, as técnicas</p><p>existentes de exames periciais nesses dispositivos e sistemas não levam em</p><p>consideração suas peculiaridades, e não se revelam exatamente apropriadas</p><p>para os dispositivos. Isso ocorre devido ao nível de diversidade, variabilidade</p><p>e constante evolução de sistemas embutidos, não sendo possível estabelecer</p><p>protocolos rígidos para a realização de exames periciais.</p><p>Análise em computação embarcada 5</p><p>Antônio Velho (2016) afirma que as técnicas de computação forense</p><p>aplicadas em exames de sistemas de computação tradicional estão bem</p><p>desenvolvidas, existindo muitos documentos e ferramentas que podem ser</p><p>utilizados para preservação, extração e análise dos dados, ao contrário do</p><p>que ocorre nas perícias que envolvem os sistemas embarcados.</p><p>O mesmo autor ainda apresenta as duas principais diferença entre exames</p><p>em computação tradicional e embarcada. A primeira delas é que no sistema</p><p>embutido, devido à correlação do estado do sistema com as condições no</p><p>ambiente que ele controla, em muitas situações é preciso que a análise seja</p><p>realizada com o sistema ativo e conectado ao ambiente de operação. Dessa</p><p>forma, a preservação do estado do sistema em determinado instante não</p><p>pode ser aplicada, em oposição às boas práticas de perícia de informática</p><p>tradicionais.</p><p>Uma exceção ocorre em casos de colisão de automóveis. Em con-</p><p>dições normais, os veículos registram as informações relacionadas</p><p>ao sistema embarcado numa memória volátil (Random Access Memory — RAM)</p><p>continuamente. Tais informações podem conter dados importantes, como ace-</p><p>leração instantânea e velocidade do veículo, de modo que ficam organizados</p><p>em ordem cronológica aqueles que correspondem aos últimos cinco segundos</p><p>de sua operação. Entretanto, no momento da colisão, essas informações são</p><p>transferidas para a memória permanente (Electrically Erasable Programma-</p><p>ble Read-Only Memory — EEPROM), ficando armazenadas para futura análise</p><p>(ANTÔNIO VELHO, 2016).</p><p>A segunda diferença é que em sistemas embutidos não existe uma padroni-</p><p>zação de vias de acesso às variáveis de estado do sistema, assim como ocorre</p><p>nos sistemas comuns. A estrutura física e funcional de sistemas embutidos</p><p>varia muito, de acordo com o tipo de equipamento, modelo, versão ou fabri-</p><p>cante. Por isso, é de extrema importância que esquemas e diagramas que</p><p>descrevem a estrutura física e o funcionamento do equipamento encontrem-se</p><p>disponíveis, pois manuais de produção e de usuário, bem como materiais de</p><p>propaganda, são fundamentais para que se entenda de maneira correta os</p><p>recursos e o funcionamento do sistema.</p><p>Análise em computação embarcada6</p><p>Apesar de não existir um protocolo rígido para a realização de perícias em</p><p>sistemas embutidos, devem ser observados os princípios básicos que regem</p><p>tais exames, estabelecendo-se uma forma de abordagem geral e flexível,</p><p>para atingir todos os dispositivos com computação embarcada possíveis.</p><p>Ao iniciar um exame técnico do sistema, é necessário definir a existência ou</p><p>não de recursos específicos que atinjam o tipo e o modelo do equipamento que</p><p>está sendo periciado. É fundamental que sejam determinados instrumentos</p><p>de laboratório, ferramentas, software e materiais básicos de apoio para a</p><p>execução dos exames. Tendo em vista algumas limitações encontradas nos</p><p>sistemas, é possível que as mesmas ferramentas sejam usadas em diagnóstico</p><p>e reparo de defeitos (ANTÔNIO VELHO, 2016).</p><p>Basicamente, para que um perito consiga realizar o exame em dispositivos</p><p>com sistemas embutidos, ele depende do fabricante do dispositivo, que é</p><p>a fonte primária e segura de informações que podem ser úteis à execução</p><p>da perícia. Em alguns casos, porém, não é possível chegar até o fabricante,</p><p>ou então os detalhes técnicos são tratados como segredo industrial. Diante</p><p>disso, torna-se necessária a execução de uma engenharia reversa no disposi-</p><p>tivo, gerando alto custos em recursos, além de ser uma operação complexa e</p><p>demorada, podendo ser inconveniente, por causa das incertezas introduzidas</p><p>a respeito da validade de seus resultado. Portanto, é preciso determinar quais</p><p>partes do sistema são relevantes para a investigação e quais componentes</p><p>podem obter informações úteis (ANTÔNIO VELHO, 2016).</p><p>Lim e Lee (2008) afirmam que, caso seja possível acessar as informações</p><p>dos dispositivos fornecidas pelo fabricante, pode-se fazer uma compara-</p><p>ção das informações originais com as contidas no sistema que está sendo</p><p>analisado. Assim, é viável detectar possíveis usos para fins maliciosos em</p><p>vestígios de modificações identificadas, cracking de hardware para cópias</p><p>ilegais de software, outro espaço de armazenamento para ocultar dados, etc.</p><p>Circuitos de memória semipermanente tipo flash, estão entre os prin-</p><p>cipais objetos de interesse nas perícias de sistemas embutidos, pois neles</p><p>encontram-se registradas informações relevantes para a investigação, como</p><p>listas de contatos e mensagens recebidas em um smartphone, registro de</p><p>geoprocessamento de equipamentos móveis e registros de acesso. Ao realizar</p><p>conexões diretas aos terminais elétricos dessas memórias, em alguns casos</p><p>é possível acessar seu conteúdo, mas existem duas condições fundamen-</p><p>tais para que isso ocorra: primeiro, as conexões com o restante do circuito</p><p>não devem gerar interferências com esse acessos; segundo, tais terminais</p><p>de memórias devem estar expostos para se tornarem acessíveis (ANTÔNIO</p><p>VELHO, 2016).</p><p>Análise em computação embarcada 7</p><p>A Figura 2 mostra os dois lados de uma memória flash. À esquerda, estão</p><p>visíveis os terminais do circuito integrado de memória, que ficam soldados à</p><p>placa de circuito, onde são suportadas as conexões de diversos componentes</p><p>do sistema. A partir do momento que os terminais são soldados à placa, eles</p><p>não ficam mais visíveis. À direita, é apresentado o lado oposto da memória</p><p>(ANTÔNIO VELHO, 2016).</p><p>Figura 2. Memória flash: circuito integrado.</p><p>Fonte: Antônio Velho (2016, p. 302).</p><p>Em alguns casos, de acordo com Antônio Velho (2016), dependendo de</p><p>como o sistema foi construído, ele pode não permitir acesso aos dados.</p><p>Em outros, o dispositivo pode estar inoperante ou ter sido destruído de</p><p>modo parcial. Nessas duas situações, torna-se necessário que o componente</p><p>do equipamento seja removido, para ser examinado isoladamente. Ou seja,</p><p>o componente é removido da placa de circuito no dispositivo em que se</p><p>encontra, e o exame é executado fora do sistema original. No entanto, essa</p><p>tarefa é extremamente delicada, sendo grandes as chances de destruição</p><p>do componente durante sua remoção. Por isso, deve ser realizada apenas</p><p>quando não restar alternativa, sendo conduzida por profissionais qualificados</p><p>e em infraestruturas de laboratório sofisticadas, para que se evite a perda</p><p>dos dados de interesse.</p><p>Lim e Lee (2008) afirmam que nem sempre é possível, ou mesmo viável,</p><p>fazer a leitura dos dados que se encontram em um circuito integrado. Isso</p><p>ocorre porque alguns tipos de dispositivos com computação embarcada</p><p>proíbem a operação de leitura, de modo que seus segredos comerciais sejam</p><p>protegidos, bem como por proteção de privacidade.</p><p>Análise em computação embarcada8</p><p>Na próxima seção, serão discutidas as técnicas para aquisição de vestígios</p><p>em sistemas embarcados.</p><p>Vestígios na computação embarcada</p><p>Vestígios dizem respeito a objetos ou materiais encontrados no local do crime</p><p>e relevantes para a investigação. Num primeiro momento, esses objetos</p><p>devem ser considerados importantes, podendo ajudar a esclarecer os fatos</p><p>que estão sendo investigados. Após a coleta de vestígios, eles são submetidos</p><p>a processos de análise, triagem e apuração analítica. Com os resultados</p><p>em</p><p>mãos, é possível identificar se realmente têm algum vínculo com o objetivo</p><p>da perícia ou com o crime cometido (ATHAYDE, 2019).</p><p>A coleta de vestígios cibernéticos deve ser realizada com extrema cautela,</p><p>pois são muito frágeis e, durante o processo, podem ser alterados, danificados</p><p>ou destruídos muito facilmente. Dessa forma, o fundamental antes de mais</p><p>nada é evitar que os vestígios sejam alterados por manipulação incorreta,</p><p>mesmo que de modo acidental. Em sistemas embarcados, a coleta de vestígios</p><p>é ainda mais crítica. Isso ocorre devido à sua capacidade de responder às</p><p>alterações dos ambientes monitorados ou controlados por eles, fazendo com</p><p>que seu estado interno seja extremamente suscetível aos eventos ocorridos</p><p>nesses ambientes (ANTÔNIO VELHO, 2016).</p><p>Antônio Velho (2016) cita como exemplo a computação embarcada</p><p>em automóveis: dados relevantes já registrados no sistema podem</p><p>ser alterados simplesmente por uma porta ser aberta ou ao acionar o motor</p><p>de partida, fazendo com que registros de histórico do uso anterior do veículo</p><p>sejam apagados.</p><p>Tomando por base o exemplo recém-citado, é importante destacar que</p><p>os efeitos citados dependem totalmente do modelo e ano do veículo, o que</p><p>significa que só será possível prever esses eventos por meio de um estudo</p><p>minucioso da documentação do fabricante. O grande problema que envolve</p><p>todos os tipos de sistemas embutidos é a falta de liberação desses dados</p><p>por parte dos fabricantes, como já citado anteriormente. Antônio Velho (2016)</p><p>afirma que não conseguir acesso a essa informações acarreta dificuldades</p><p>Análise em computação embarcada 9</p><p>para a perícia, além das questões operacionais, tornando muito difícil o</p><p>desenvolvimento e validação de procedimentos e ferramentas aplicadas</p><p>durante a fase de exame. Outra dificuldade encontrada é que o perito acaba se</p><p>tornando dependente da cooperação dos fabricantes, o que pode prejudicar</p><p>muito a evolução da perícia.</p><p>Sistemas embutidos são formados por arquiteturas específicas, meios</p><p>de acesso bastante restritos e recursos muito limitados. Além do mais, sua</p><p>operação funciona de acordo com seu ambiente, dificultando de maneira</p><p>considerável a reprodução de condições de funcionamento dos sistemas</p><p>em laboratórios de análise. Todas essas questões elevam a complexidade</p><p>da realização de perícias em sistemas embarcados.</p><p>A seguir, serão apresentados dois exemplos de dispositivos com sistemas</p><p>embarcados, descrevendo de maneira sucinta sua aquisição e análise de</p><p>vestígios: em veículos, segundo Antônio Velho (2016), e em smart TV, segundo</p><p>Boztas, Roeloffs e Riethoven (2015) e Lennert (2017).</p><p>Vestígios em veículos</p><p>Em sua maioria, os veículos produzidos mais recentemente, sobretudo aque-</p><p>les que possuem airbags, são capazes de armazenar dados sobre eventos</p><p>anteriores a um acidente, por meio de um dispositivo chamado gravador de</p><p>dados de eventos (event data recorders — EDR). Os dados que esses EDRs</p><p>armazenam são referentes aos cinco segundos que antecedem uma coli-</p><p>são. Esses registros são importantes porque podem ajudar a determinar as</p><p>circunstâncias do ocorrido, já que apresentam informações dos veículos,</p><p>de seus ocupantes, entre outras, como:</p><p>� o estado de operação dos diferentes sistemas do veículo;</p><p>� quais assentos estavam ocupados;</p><p>� se os equipamentos de segurança individual estavam em uso e se</p><p>estavam sendo utilizados de maneira correta;</p><p>� as posições dos comandos do veículo que podem ter sido acionados</p><p>pelo motorista ou pelos passageiros;</p><p>� posição, velocidade, direção e atitude espacial do veículo no momento</p><p>da colisão.</p><p>É importante salientar que essas informações podem se encaixar no sigilo</p><p>industrial por parte do fabricante, não tendo seu acesso autorizado.</p><p>Análise em computação embarcada10</p><p>Nesse contexto, a Crash Data Retrieval Tool (CDR) foi desenvolvida pela</p><p>empresa Bosch e é uma ferramenta composta por um software que opera</p><p>em sistema operacional Windows, um módulo de interface e um conjunto</p><p>de cabos que a conecta a um computador pessoal, que pode ser utilizado</p><p>tanto em campo, ou seja, no local do acidente, quanto em laboratório, caso</p><p>a EDR seja removida do veículo para análise. Quando o módulo EDR é de</p><p>fato removido do veículo, devem-se cumprir os requisitos de preservação</p><p>jurídica das provas, incluindo o registro da cadeia de custódia, descrevendo</p><p>o componente removido e a preservação física da prova. Isso é necessário</p><p>porque os dados armazenados no EDR podem ser destruídos por manuseio</p><p>de forma incorreta do equipamento.</p><p>Apesar de serem extremamente importantes para a resolução dos casos,</p><p>as informações contidas na EDR devem ser analisadas em conjunto com</p><p>outros elementos de prova, como marcas de derrapagem, danos no veículo</p><p>e objetos do ambiente, de modo a gerar certezas a respeito dos fatos, pois</p><p>não é possível fazer a interpretação correta se não forem consideradas as</p><p>demais circunstâncias do evento. Desse modo, ainda é preciso localizar,</p><p>coletar e examinar os vestígios no local do evento em questão.</p><p>Vestígios em smart TV</p><p>Uma smart TV representa a evolução de um televisor tradicional, ou seja,</p><p>é uma TV com recursos integrados à internet. Esses aparelhos são muito</p><p>populares no mercado atual, pois podem ser utilizados para obter acesso</p><p>rápido à internet, o que inclui vídeo sob demanda, redes sociais e mensa-</p><p>gens instantâneas. Além disso, a maioria das smart TVs tem a capacidade</p><p>de conexão com dispositivos externos, como discos de armazenamento,</p><p>pendrives e telefones celulares. Com isso, as smart TVs tornaram-se uma</p><p>fonte de informações para fins forenses.</p><p>Os três métodos examinados a seguir podem ser aplicados para adquirir</p><p>dados armazenados numa smart TV.</p><p>Cartão multimídia de cinco fios</p><p>O método embedded multimedia card (eMMC, ou cartão multimidia embutido)</p><p>envolve a tentativa de leitura do chip eMMc, ou seja, a memória flash da smart</p><p>TV investigada, com o intuito de criar uma cópia dos dados. Esse chip requer</p><p>cinco sinais para ser conectado: Vss, Vdd, Clock, Command e Data0. Caso</p><p>esses sinais sejam conectados na placa principal, significa que é possível ler</p><p>Análise em computação embarcada 11</p><p>o chip eMMC por meio de um leitor de cartões SD USB padrão que deve ser</p><p>conectado a um bloqueador de gravação.</p><p>Porém, esse método nem sempre é viável, pois o processador da smart</p><p>TV pode tentar acessar os dados do chip ao mesmo tempo em que ocorre a</p><p>tentativa de aquisição de dados. Dessa forma, como não tem como impedir</p><p>o processador de realizar o acesso, tornando inacessível a leitura por parte</p><p>do perito.</p><p>Kit de ferramentas de memória NFI MTK II</p><p>Aqui temos uma solução forense universal, que torna possível aos investi-</p><p>gadores a leitura de chips de memória para extrair dados de usuários, como</p><p>mensagens de texto, números de telefone, fotos e histórico do navegador.</p><p>Esse método pode ser utilizado para recuperar dados de dispositivos dani-</p><p>ficados ou que estejam protegidos por senha e até, em alguns casos, dados</p><p>que foram apagados.</p><p>O Memory Toolkit (MTK) II é uma combinação de hardware e software, em</p><p>que o hardware é responsável por estabelecer uma conexão física, gerando</p><p>sinais e fornecendo energia para um chip de memória, enquanto o software fica</p><p>responsável pela execução dos conjuntos de comandos que são necessários</p><p>para o acesso aos dados. O que esse método faz é dessoldar a memória flash</p><p>da placa principal da smart TV para efetuar a cópia dos dados do chip. Porém,</p><p>essa prática é extremamente arriscada, pois pode levar à destruição do chip</p><p>de memória durante sua extração, caso não seja realizada por profissionais</p><p>habilitados e experientes, levando à perda de todas as informações. Dessa</p><p>forma, este é um método recomendado apenas em últimos casos.</p><p>Aplicativo</p><p>Neste método, os peritos recorrem a um aplicativo personalizado que deve</p><p>ser instalado na smart TV para efetuar a gravação dos dados em um dispo-</p><p>sitivo de armazenamento externo. Apesar de ser a alternativa mais simples</p><p>e segura, pois minimiza</p><p>os riscos de danificar o dispositivo, se comparada</p><p>ao método anterior, o aplicativo pode deixar rastros ou adulterar de modo</p><p>involuntário os vestígios que poderiam ser aproveitados para a investigação.</p><p>Além disso, para instalar dispositivos personalizados e que serão usados</p><p>para a transferência de dados, é necessário fazer o root do sistema, ou seja,</p><p>Análise em computação embarcada12</p><p>adquirir permissões de administrador no sistema operacional da smart TV.</p><p>Isso é possível mediante alguns procedimentos, que variam de acordo com o</p><p>fornecedor e o modelo da TV. No entanto, esses métodos estão vulneráveis a</p><p>atualizações automáticas de firmware da TV, que podem tornar o aplicativo</p><p>inútil, gerando retrabalho para novas configurações.</p><p>Com a execução dos métodos citados, as smart TVs fornecem inúmeras</p><p>informações que podem ser muito úteis para a investigação forense, incluindo:</p><p>� informações de redes, como de endereços IP e de dispositivos empa-</p><p>relhados via Bluetooth;</p><p>� informações de aplicativos, incluindo quando foram instalados e cap-</p><p>turas de telas de aplicativos utilizados mais recentemente;</p><p>� histórico da internet, como histórico de pesquisa, URL, título, data, etc.;</p><p>� informações de mídia recuperadas, incluindo nome do arquivo de</p><p>música, artistas e gênero; nomes de arquivos de vídeos e imagens; infor-</p><p>mações sobre quais arquivos de mídia foram abertos pelo usuário, etc.;</p><p>� versão do dispositivo e número de série.</p><p>Cabe ressaltar que a metodologia de aquisição e análise de vestígios em</p><p>smart TVs também varia de acordo com o fabricante e o modelo. Boztas,</p><p>Roeloffs e Riethoven (2015) e Lennert (2017) utilizaram os métodos recém-</p><p>-mencionados numa smart TV da marca Samsung e obtiveram bons resultados</p><p>com o NFI Memory Toolkit II e com o uso de aplicativo. Em geral, apesar dos</p><p>riscos, o MTK II, por ser baseado em hardware e não estar sujeito a alterações</p><p>pelas atualizações de firmware, foi considerado o método mais viável.</p><p>Podemos afirmar que os sistemas embarcados estão completamente</p><p>inseridos no dia a dia da sociedade, mas em sua maioria as pessoas usufruem</p><p>das facilidades que eles proporcionam sem nem imaginar que estão fazendo</p><p>uso de um computador. Frente ao vasto leque de dispositivos embarcados</p><p>encontrados hoje em dia, é fora da realidade estabelecer protocolos rígidos</p><p>para realização de perícia forense desses sistemas, exigindo que os peritos</p><p>sustentem seus trabalhos em seus conhecimentos de princípios e métodos</p><p>científicos. Além disso, no trabalho com sistemas embutidos, é fundamental</p><p>que os peritos responsáveis sejam engenheiros eletrônicos e que possuam</p><p>conhecimentos especializados e grande capacidade técnica para que cada</p><p>caso seja tratado como único, levando em conta sempre a complexidade</p><p>dessas perícias.</p><p>Análise em computação embarcada 13</p><p>Referências</p><p>ANTÔNIO VELHO, J. Tratado de computação forense. Campinas: Millennium Editora, 2016.</p><p>ATHAYDE, V. A. P. de. Forense computacional e criptografia. São Paulo: Editora Senac, 2019.</p><p>BOZTAS, A.; ROELOFFS, M.; RIETHOVEN, A. R. J. Smart TV forensics: digital traces on</p><p>televisions. Digital Investigation, v. 12, supl. 1, p. S72–S80, 2015.</p><p>CARDOSO, J. M. P.; COUTINHO, J. G. F.; DINIZ, P. C. Embedded computing for high perfor-</p><p>mance. Cambridge: Elsevier, 2017.</p><p>LENNERT, E. C. Smart TV Forensics: digital traces on televisions. Orlando: Florida Forensic</p><p>Science, 2017. Disponível em: https://www.floridaforensicscience.com/review-smart-</p><p>-tv-forensics-digital-traces-televisions/. Acesso em: 19 jul. 2021.</p><p>LIM, K.-S.; LEE, S. A methodology for forensic analysis of embedded system. In: INTER-</p><p>NATIONAL CONFERENCE ON FUTURE GENERATION COMMUNICATION AND NETWORKING,</p><p>2., 2008. [S. l.]: IEEE, 2008.</p><p>OMNISCI. Embedded system. [S. l.]: Omnisci, 2021. Disponível em: https://www.omnisci.</p><p>com/technical-glossary/embedded-systems. Acesso em: 19 jul. 2021.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise em computação embarcada14</p><p>Dica do professor</p><p>Quando se trata de sistemas embarcados, o desempenho é o principal ponto a se considerar, uma</p><p>vez que os sistemas são planejados para atender a objetivos e prazos específicos. Para os sistemas</p><p>que atuam em tempo real, isso é ainda mais crítico, pois eles têm um prazo mais curto para realizar</p><p>as funções predefinidas e precisam, obrigatoriamente, atender a ele.</p><p>Sendo assim, para desenvolver sistemas seguros para sistemas embarcados, faz-se extremamente</p><p>necessário entender como funciona a arquitetura geral desses sistemas e quais devem ser as</p><p>prioridades principais no hardware desses equipamentos.</p><p>Nesta Dica do Professor, confira uma breve explicação da arquitetura geral dos sistemas</p><p>embarcados.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/0fcaea215954577c360b02933206649c</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja a seguir as sugestões do professor:</p><p>IoT – investigação forense digital: fundamentos e guia de</p><p>referência</p><p>Confira o livro a seguir para saber mais sobre os procedimentos de investigação forense</p><p>computacional em crimes digitais associados à Internet das Coisas (IoT).</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Exploração de arquiteturas de memórias híbridas para sistemas</p><p>embarcados utilizando memórias não voláteis</p><p>A arquitetura de memória de dispositivos embarcados influencia fortemente o consumo total de</p><p>energia. Confira a dissertação a seguir sobre a análise de acesso à memória de um processador</p><p>embarcado ARMv5 e os impactos dos acessos à memória no consumo e no desempenho em outros</p><p>modelos de memória híbridos com tecnologias emergentes.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Introdução aos sistemas embarcados e microcontroladores</p><p>Acesse o link a seguir para saber mais sobre sistemas embarcados e sistemas microcontrolados, a</p><p>fim de entender a arquitetura de microcontroladores e a interface entre hardware e software em</p><p>sistemas embarcados.</p><p>http://www.komp.com.br/gallery/iot-investigacao-forense-digital-e-book-p.pdf</p><p>http://repositorio.ufpel.edu.br:8080/bitstream/prefix/3846/1/Dissertacao_Lisandro_Luiz_da_Silva.pdf</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://www.embarcados.com.br/sistemas-embarcados-e-microcontroladores/</p><p>Análise em dispositivos móveis</p><p>Apresentação</p><p>O uso intensivo de dispositivos móveis alavanca um grave problema em se tratando da segurança</p><p>da informação e contra crimes virtuais: o aumento da incidência de roubos de dados, sequestros,</p><p>aliciações, dentre outros aspectos ilícitos, digital e civilmente falando. Isso se dá por consequência</p><p>impremeditada da evolução da tecnologia da informação e, consequentemente, do acesso à</p><p>internet. Dessa forma, a velocidade com que as informações trafegam e o uso disseminado de</p><p>aplicações em tempo real, juntamente com a prática massiva de armazenamento de dados em</p><p>nuvem tornam-se alvos atraentes para a ação criminosa de hackers ou pessoas mal-intencionadas.</p><p>Nesta Unidade de Aprendizagem, você vai saber mais sobre a análise forense de dispositivos</p><p>móveis a partir de uma abordagem geral sobre as características e evidências digitais para análise</p><p>forense. Também serão mostrados alguns métodos de análise, ferramentas e exemplos</p><p>relacionados à análise forense.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados</p><p>informático, furto e estelionato cometidos de forma eletrônica... Brasília: Presidência</p><p>da República, 2021. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-</p><p>2022/2021/Lei/L14155.htm. Acesso em: 22 jul. 2021.</p><p>CARVALHO, J. L. Cadeia de custódia e sua relevância na persecução penal. Brazilian</p><p>Journal of Forensic Sciences, Medical Law and Bioethics, v. 5, n. 4, p. 371-382, 2016.</p><p>Disponível em: https://www.ipebj.com.br/bjfs/index.php/bjfs/article/view/623/2894.</p><p>Acesso em: 22 jul. 2021.</p><p>Introdução à computação forense12</p><p>COSTA, R. P.; GARCIA, R. Princípios e análises da computação forense. ETIC - Encontro de</p><p>Iniciação Científica, v. 10, n. 10, 2014. Disponível em: http://intertemas.toledoprudente.</p><p>edu.br/index.php/ETIC/article/download/4428/4185. Acesso em: 22 jul. 2021.</p><p>ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo:</p><p>Novatec, 2019.</p><p>FREITAS, A. R. Perícia forense aplicada à informática. 2003. Monografia de Pós-Graduação</p><p>(Especialização em Internet Security) - Instituto Brasileiro de Propriedade Intelectual</p><p>(IBPI), São Paulo, 2003.</p><p>MELO, S. P. Computação forense com software livre. Rio de Janeiro: Altabooks, 2008.</p><p>PINHEIRO, P. P. Direito digital. 6. ed. São Paulo: Saraiva, 2016.</p><p>REIS, M. A. Forense computacional e sua aplicação em segurança imunológica. 2003.</p><p>241 f. Dissertação (Mestrado em Ciência da Computação) - Universidade Estadual</p><p>Campinas, Campinas, SP, 2003. Disponível em: http://repositorio.unicamp.br/jspui/</p><p>bitstream/REPOSIP/276322/1/Reis_MarceloAbdallados_M.pdf. Acesso em: 22 jul. 2021.</p><p>SAFERNET. Indicadores da Central Nacional de Denúncias de Crimes Cibernéticos.</p><p>SaferNet Brasil, 2020. Disponível em: https://indicadores.safernet.org.br/. Acesso</p><p>em: 22 jul. 2021.</p><p>SILVA, Y. E. Classificação de Malware e sua identificação na perícia digital. Instituto de</p><p>Pós-Graduação - IPOG, 2018. Disponível em: https://www.paranapericias.com/painel/</p><p>material/artigos/EuflauzinoArtigoIpog.pdf. Acesso em: 22 jul. 2021.</p><p>SILVA FILHO, W. L. Crimes cibernéticos e computação forense. In: MORAES, I. M.; ROCHA,</p><p>A. A. A. (org.). Minicursos do 16. Simpósio Brasileiro em Segurança da Informação e de</p><p>Sistemas Computacionais. Niterói, RJ: SBS, 2016. Disponível em: http://sbseg2016.ic.uff.</p><p>br/pt/files/MC2-SBSeg16.pdf. Acesso em: 22 jul. 2021.</p><p>SIMÃO, A. M. L. et al. Aquisição de evidências digitais em smartphones Android. In:</p><p>ICOFCS - 2011: [Anais da Sexta Conferência Internacional de Ciência da Computação</p><p>Forense]. Brasília: ABEAT, 2011. Disponível em: http://icofcs.org/2011/ICoFCS2011-PP09.</p><p>pdf. Acesso em: 22 jul. 2021.</p><p>SOUZA, T. Como analisar arquivos PCAP com Xplico: network forensic analysis tool.</p><p>Tiago Souza, 2017. Disponível em: https://tiagosouza.com/como-analisar-arquivos-</p><p>-pcap-xplico-network-forensic-analysis-tool/. Acesso em: 22 jul. 2021.</p><p>TEIXEIRA, T. Direito digital e processo eletrônico. 5. ed. São Paulo: Saraiva Educação, 2020.</p><p>TOLENTINO, L. C.; SILVA, W.; MELLO, P. A. M. S. Perícia forense computacional. Revista</p><p>Tecnologias em Projeção, v. 2, n. 2, p. 32-37, 2011. Disponível em: http://revista.faculdade-</p><p>projecao.edu.br/index.php/Projecao4/article/download/168/149. Acesso em: 22 jul. 2021.</p><p>Leitura recomendada</p><p>PARREIRA JÚNIOR, W. M. Sistemas de computação digital. 2011. (Apostila de Sistemas de</p><p>Computação Digital, Curso de Engenharia Elétrica, Fundação Educacional de Ituiutaba,</p><p>UEMG). Disponível em: http://www.waltenomartins.com.br/ap_scd_v1.pdf. Acesso em:</p><p>22 jul. 2021.</p><p>Introdução à computação forense 13</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os editores</p><p>declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Introdução à computação forense14</p><p>Dica do professor</p><p>O perito computacional é um profissional técnico que faz análises científicas em equipamentos de</p><p>informática, a fim de auxiliar a investigação criminal desempenhada pela polícia. Entre as suas</p><p>tarefas, consta o exame de diferentes aparelhos de informática, o que atualmente tem ocorrido</p><p>com certa frequência, e a tendência é que esse trabalho cresça cada vez mais, visto que a</p><p>tecnologia já faz parte do cotidiano da sociedade.</p><p>Nesta Dica do Professor, você vai ver alguns exames forenses desempenhados pelo perito</p><p>computacional.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/32db79c4f897d581fd52a5c951bfdf34</p><p>Saiba +</p><p>Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:</p><p>Sistema de numeração binário: dos computadores à sala de aula</p><p>Neste artigo, você vai ver como ocorre o sistema de numeração binária, sendo ele de extrema</p><p>importância para a compreensão da tecnologia, já que esta faz parte do cotidiano da sociedade</p><p>atual. Confira.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Perícia em aparelhos celulares</p><p>Neste vídeo, você vai ver como acontece a realização do exame de perícias em aparelhos celulares,</p><p>para que o profissional técnico possa extrair todos os dados relevantes para a investigação. Assista.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>A Lei Carolina Dieckmann analisada sob o prisma da análise</p><p>do discurso</p><p>Neste artigo, você vai acompanhar uma análise sobre a importância de uma legislação específica de</p><p>combate aos crimes cibernéticos. Veja a seguir.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://teses.usp.br/teses/disponiveis/55/55136/tde-31072018-090732/publico/JulisLeonanSalviato_revisada.pdf</p><p>https://www.youtube.com/embed/ezEyM78aFGE</p><p>http://publica.sagah.com.br/publicador/objects/attachment/1234647247/LeiCarolinaDieckmann.pdf?v=1934888160</p><p>Fundamentos do direito penal</p><p>cibernético</p><p>Apresentação</p><p>O avanço das tecnologias alcança diariamente, e cada vez mais, as relações sociais, que estão em</p><p>constante transformação. O Direito como instrumento dinâmico também sofre mudanças</p><p>expressivas com o advento da ciência cibernética, passando a dialogar com questões que fazem</p><p>parte do cotidiano das pessoas. Neste sentido, o crescimento do mundo virtual trouxe não apenas</p><p>mudanças positivas, mas também o surgimento de malefícios, como é o caso dos crimes no âmbito</p><p>virtual. Com isso, as ciências jurídicas precisaram englobar em seu conteúdo normativas</p><p>relacionadas a cibercrimes.</p><p>Crimes cibernéticos, ou cibercrimes, são todas as ações que utilizam um computador, um</p><p>dispositivo móvel ou uma rede de computadores, como ferramenta para a prática de uma conduta</p><p>criminosa. As Cortes Superiores do Brasil, o Superior Tribunal de Justiça (STJ) e o Supremo Tribunal</p><p>Federal (STF), adotam como conceito para crimes virtuais todo ato que é ilícito, antijurídico,</p><p>culpável e cometido por meio da internet.</p><p>Com o advento do crescente número de questões jurídicas vinculadas a crimes no ciberespaço no</p><p>Brasil, tanto o Código Penal quanto outras legislações específicas, como a Lei no 12.737 de 2012,</p><p>conhecida como Lei Carolina Dieckmann e a Lei no 12.965 de 2014, o Marco Civil da Internet,</p><p>precisaram ser criadas para conseguir alcançar, trabalhar e, eventualmente, punir ações ilegais</p><p>praticadas no mundo virtual.</p><p>Nesta Unidade de Aprendizagem, você verá o que é o direito cibernético no contexto Legislativo</p><p>brasileiro. Além disso, compreenderá quais são as principais normativas legais vinculadas aos</p><p>delitos do âmbito virtual. Por fim, conhecerá as infrações cibernéticas mais comuns no âmbito</p><p>jurídico brasileiro.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Conceituar direito cibernético.•</p><p>e suas peculiaridades. •</p><p>Descrever a metodologia e as ferramentas para realizar exames na internet. •</p><p>Explicar a análise dos vestígios.•</p><p>Infográfico</p><p>As fases de aquisição dos dados para a análise forense estão ligadas a padrões estabelecidos por</p><p>normas como a ABNT NBR ISO/IEC 27037:2013 (ABNT, 2013), cujo cumprimento assegura que</p><p>haja um processo cauteloso e seguro de análise forense. Esse processo cauteloso está direcionado</p><p>ao tipo de atividade de análise efetivamente realizada. No caso dos dispositivos móveis, além da</p><p>abordagem forense tradicional, as especificidades de aplicações e dispositivos devem ser</p><p>consideradas. Obedecendo ao processo e dependendo do grau de complexidade, a análise deverá</p><p>ser concluída com tempo variável, mas focando no máximo de certeza possível sobre o laudo</p><p>gerado.</p><p>Neste Infográfico, você vai saber mais sobre a interação desses passos no processo da forense</p><p>móvel.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/c1315715-3d74-48be-a7ca-6e480357de56/a746dbde-400a-4b9d-815e-c45356aadded.jpg</p><p>Conteúdo do livro</p><p>A abordagem forense tem uma amplitude muito vasta, que abrange diversas áreas. No ambiente</p><p>tecnológico, a computação forense se destaca por realizar perícias não apenas em crimes digitais,</p><p>mas nos que, mesmo não sendo propriamente digitais, utilizam dispositivos digitais, principalmente</p><p>smartphones, para realizar algum tipo de ação, seja de planejamento ou de efetivo ataque. Desse</p><p>modo, a análise forense móvel ganha destaque, em sua atuação, por meio de ferramentas, modelos</p><p>e procedimentos que visam à captura de dispositivos, aquisição de dados, produção de análises e</p><p>laudos finais.</p><p>No capítulo Análise em dispositivos móveis, base teórica desta Unidade de Aprendizagem, você vai</p><p>conhecer algumas das técnicas de coletas de informação, bem como aprender a realizar a análise</p><p>forense móvel de vestígios que o possível atacante possa deixar.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na in-</p><p>ternet.</p><p>> Explicar a análise dos vestígios.</p><p>Introdução</p><p>Em constante evolução, os meios eletrônicos têm nos proporcionado acessar</p><p>cada vez mais informações, buscar soluções, compartilhar conteúdos, interagir</p><p>com outras pessoas, etc. Porém, juntamente com a evolução da tecnologia e a</p><p>popularização do uso de dispositivos móveis, tem sido observado um aumento</p><p>contínuo nos casos de crimes virtuais. Uma vez que esses crimes causam graves</p><p>problemas tanto para indivíduos quanto para empresas, a forense digital vem se</p><p>mostrando uma área de extrema relevância para as investigações atuais.</p><p>Neste capítulo, você vai conhecer itens que podem ser periciados, sobretudo</p><p>aqueles relacionados à computação móvel. Além disso, serão apresentadas me-</p><p>todologias e ferramentas usadas em exames na internet. Por fim, descreveremos</p><p>a análise de vestígios em dispositivos móveis.</p><p>Análise de</p><p>dispositivos móveis</p><p>Victor de Andrade Machado</p><p>Evidências digitais e itens de análise</p><p>A forense digital é a ciência que estuda como obter, preservar, analisar e</p><p>documentar evidências digitais de dispositivos eletrônicos como Tablet PC,</p><p>servidor, PDA, aparelho de fax, câmera digital, iPod, smartphone (forense</p><p>móvel) e todos os outros dispositivos de armazenamento.</p><p>A evidência digital pode ser definida como qualquer informação com valor</p><p>probatório que é armazenada ou transmitida em formato digital. Portanto,</p><p>ela pode estar relacionada a (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS,</p><p>2013):</p><p>um dispositivo de armazenamento digital — computador pessoal, note-</p><p>book, disco rígido externo, disquete, fita, CD/DVD, cartão de memória,</p><p>unidade USB, telefones celulares, SIM, smartphone, tablet, navegadores</p><p>por satélite;</p><p>uma intranet/internet — interceptação de tráfego de dados, páginas da</p><p>web, blogs, redes sociais, chat/mensagens instantâneas, P2P, etc.</p><p>Esses conceitos são aplicados de forma geral, objetivando uma série</p><p>de análises para que as perícias possam ser realizadas. Um dos principais</p><p>meios para investigação, contudo, são os smartphones. Com o crescimento</p><p>do número de dispositivos e do acesso à internet, são grandes as chances</p><p>de ocorrerem crimes digitais em que esses aparelhos estejam envolvidos</p><p>(ARAÚJO, 2020). Desse modo, alguns conceitos e algumas análises específicas</p><p>devem ser levados em consideração em uma avaliação forense móvel.</p><p>Em se tratando de dispositivos móveis, há uma lista de possibilidades e</p><p>variações que podem ser consideradas para a análise, conforme você poderá</p><p>compreender a seguir.</p><p>Dispositivos móveis na avaliação forense</p><p>A computação forense móvel é uma valiosa área de metodologias científicas</p><p>usadas por pesquisadores forenses para extrair dados e outras evidências</p><p>digitais de dispositivos móveis, como telefones celulares, smartphones, PDAs</p><p>e tablets (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013). Uma vez</p><p>que as evidências tenham sido coletadas desses dispositivos, elas devem</p><p>ser aceitas no tribunal. Isso significa que os protocolos previstos devem ser</p><p>sempre seguidos pelos pesquisadores em todas as etapas do modelo de</p><p>investigação.</p><p>Análise de dispositivos móveis2</p><p>Franklin et al. (2020) classificam os dispositivos móveis em três categorias:</p><p>básico, avançado e smart, cujas características são descritas a seguir.</p><p>Básico: oferece velocidade de cálculo e memória limitadas; não dispõe</p><p>de câmera e cartão de memória adicional; pode ser conectado a um</p><p>computador via cabo ou infravermelho; não pode ser conectado à</p><p>internet para navegação na web e envio de e-mails.</p><p>Avançado: oferece velocidade de cálculo e memória superiores, câmera</p><p>de baixa resolução e equipada com slot para cartões de memória</p><p>adicionais, bem como agenda de compromissos; pode ser conectado</p><p>a um computador via cabo, infravermelho ou Bluetooth; é capaz de</p><p>se conectar à internet em velocidade limitada para navegação WAP e</p><p>para envio e recebimento de correio eletrônico.</p><p>� Smart: oferece alta capacidade de computação e memória, câmera de</p><p>alta resolução capaz de gravar vídeos, massa adicional de alta capaci-</p><p>dade ou memórias removíveis, além de agenda de compromissos; pode</p><p>ser conectado a um computador via cabo, infravermelho, Bluetooth</p><p>e Wi-Fi; é capaz de se conectar à internet de alta velocidade para</p><p>navegação na web, bem como para envio e recebimento de e-mails e</p><p>mensagens instantâneas.</p><p>O Quadro 1 mostra uma classificação dos dispositivos móveis com suas</p><p>principais características.</p><p>Quadro 1. Características de hardware de dispositivos móveis</p><p>Básico Avançado Smart</p><p>Processador Velocidade</p><p>limitada</p><p>Velocidade</p><p>melhorada</p><p>Alta velocidade</p><p>Memória Capacidade</p><p>limitada</p><p>Capacidade</p><p>melhorada</p><p>Alta capacidade</p><p>Display Escala cinza Colorido Com 4K</p><p>Slot de cartão Ausente Mini SD MiniSD/MiniSDIO</p><p>Câmera Ausente Modo still Still e vídeo</p><p>avançado</p><p>(Continua)</p><p>Análise de dispositivos móveis 3</p><p>Básico Avançado Smart</p><p>Entrada de</p><p>texto</p><p>Numérico Numérico e</p><p>virtual</p><p>Numérico, virtual</p><p>e touch</p><p>Rede sem fio Infravermelho Infravermelho e</p><p>Bluetooth</p><p>Infravermelho,</p><p>Bluetooth e Wi-Fi</p><p>Fonte: Adaptado de Franklin et al. (2020).</p><p>O processo forense móvel inclui a obtenção e a análise de dados de um</p><p>dispositivo móvel e de um cartão SIM. A computação forense em dispositivos</p><p>móveis tem como objetivo localizar o crime da pessoa, incluindo o dispositivo</p><p>móvel (ARAÚJO, 2020; COSTA, 2011). A meta é se fazerem cumprir os requisitos</p><p>mínimos de segurança da informação, os pilares conhecidos como “CID”</p><p>(confidencialidade, integridade e disponibilidade). De forma geral, existem</p><p>alguns itens e modelos gerais aceitos para o processo de investigação forense,</p><p>sendo eles os seguintes (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013):</p><p>coleta de evidências;</p><p>investigação de provas;</p><p>análise e avaliação;</p><p>aceitação como</p><p>Explicar as leis brasileiras relacionadas ao direito cibernético.•</p><p>Elencar os tipos penais mais comuns em direito cibernético.•</p><p>Infográfico</p><p>A utilização exponencial da tecnologia e os avanços da era digital são fenômenos essenciais ao</p><p>pleno desenvolvimento e à evolução da sociedade contemporânea. Da mesma forma que a internet</p><p>proporcionou benefícios à sociedade, também propiciou o surgimento de práticas ilícitas,</p><p>possibilitando o aprimoramento de crimes já existentes, a partir da utilização do meio informático.</p><p>O número de vítimas de delitos cibernéticos aumenta constantemente em todo o mundo e, com</p><p>isso, muito embora surjam mecanismos de combate e controle à propagação de crimes virtuais, há</p><p>dificuldade jurídica na resolução dos conflitos.</p><p>Todavia, nos últimos anos, o Brasil vem atualizando o ordenamento jurídico com a publicação de</p><p>legislações voltadas às questões vinculadas ao ambiente virtual, tanto no que diz respeito à edição</p><p>de leis relacionadas a condutas lesivas nos tipos penais já existentes quanto na criação de tipos</p><p>penais específicos aos crimes cibernéticos, como em relação à criação de leis que estabelecem</p><p>princípios e diretrizes para o uso da internet no Brasil.</p><p>Neste Infográfico, você vai conhecer algumas das leis que se destacam em relação aos conteúdos</p><p>inerentes aos crimes cibernéticos.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/829c34dc-4d8d-4479-9a79-306f72cf5bb3/637cd8a7-c252-48a1-9162-0ac671384e80.png</p><p>Conteúdo do livro</p><p>O direito penal cibernético vem ganhado expressivo destaque entre os operadores de Direito</p><p>Penal. O avanço tecnológico e o crescimento de acesso à rede mundial de computadores e aos</p><p>equipamentos eletrônicos, como laptops, smartphones e tablets, gerou uma série de mudanças</p><p>sociais, que, consequentemente, trouxeram benefícios e malefícios, estes podendo ser traduzidos</p><p>como crimes cibernéticos. Esses crimes são equiparados aos delitos comuns, tratados no Código</p><p>Penal e em leis especiais. Assim, para que sejam consideradas condutas criminosas, as atitudes no</p><p>âmbito cibernético devem atender à classificação tripartite da teoria geral do delito, que define que</p><p>um crime é de conduta típica, antijurídica e culpável.</p><p>O ano de 2012 se destacou com a publicação de duas leis de salutar importância no campo do</p><p>direito cibernético: a Lei no 12.735 e a Lei no 12.737, esta conhecida como Lei dos Crimes</p><p>Cibernéticos ou Lei Carolina Dieckmann. Tais dispositivos legais, em especial esse último, foram</p><p>responsáveis pela alteração do texto do Código Penal, introduzindo novos tipos penais e</p><p>enfatizando a atuação do Direito Penal frente aos delitos que ocorrem no âmbito virtual.</p><p>No capítulo Fundamentos do direito penal cibernético, base teórica desta Unidade de</p><p>Aprendizagem, você vai conhecer o conceito de direito cibernético. Além disso, vai visualizar as</p><p>principais leis brasileiras relacionadas ao direito cibernético. Por fim, vai ver os tipos penais mais</p><p>comuns em matéria de cibercrimes.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Conceituar direito cibernético.</p><p>> Explicar as leis brasileiras relacionadas ao direito cibernético.</p><p>> Elencar os tipos penais mais comuns no direito cibernético.</p><p>Introdução</p><p>O direito penal cibernético vem ganhando cada vez mais espaço no mundo jurídico,</p><p>uma vez que os avanços tecnológicos se apresentam como imenso desafio para</p><p>a legislação penal pátria vigente. Até o presente momento, ainda que existam</p><p>aperfeiçoamentos do Código Penal e leis especiais, bem como a criação de novos</p><p>tipos penais, resta uma grande lacuna na adequação da normativa penal frente ao</p><p>avanço dos delitos que são cometidos no âmbito virtual. Nesse sentido, o crime</p><p>cibernético passou a ser matéria recorrente entre os doutrinadores nos últimos</p><p>anos, visto que o aumento de práticas delituosas e a dificuldade de controle e</p><p>combate pelas forças jurídicas do Brasil aos crimes cibernéticos é assunto comum</p><p>não apenas na vida cotidiana, mas nos tribunais. Com isso, desde o ano de 2012</p><p>algumas leis específicas à temática foram publicadas e demonstraram certo avanço</p><p>legal em relação ao tratamento dos crimes cibernéticos pelo direito penal, sendo de</p><p>relevante destaque a Lei nº 12.737, de 2012, intitulada Lei dos Crimes Cibernéticos.</p><p>Fundamentos</p><p>do direito penal</p><p>cibernético</p><p>Karoline Freire</p><p>Dessa maneira, verifica-se que os operadores do direito buscam maiores</p><p>especificidades na legislação pátria e mecanismos de combate a delitos infor-</p><p>máticos específicos. Sob a teoria geral do delito, o crime cibernético também</p><p>deve se enquadrar no critério tripartite e, para ser considerado uma conduta</p><p>criminosa, deve constituir uma ação típica, antijurídica e culpável. Ademais, ainda</p><p>que expressamente tipificados na legislação pátria, delitos comuns cibernéticos</p><p>como estelionato e fraude, além da invasão de dispositivo informático, encontram</p><p>dificuldades de serem investigados e solucionados, uma vez que o ambiente</p><p>virtual muitas vezes prejudica o rastreamento por parte dos profissionais de</p><p>polícia no Brasil.</p><p>Neste capítulo, você conhecerá o conceito de direito cibernético e examinará</p><p>o conteúdo dos principais documentos legais relacionados com o tema no Brasil.</p><p>Além disso, estudará os tipos penais mais comuns no direito cibernético no país.</p><p>O conceito de direito cibernético</p><p>Para que o conceito de direito cibernético e, da mesma forma, de crime ci-</p><p>bernético, seja compreendido de maneira mais delineada, é preciso entender</p><p>a teoria geral do delito adotada pelo direito criminal no Brasil. Desse modo,</p><p>as condutas vinculadas com as ações realizadas no campo virtual podem</p><p>ser compreendidas como meras ações ou como delitos de natureza criminal.</p><p>Nesse contexto, a Lei de Introdução do Código Penal, Lei nº 3.914, de 1941,</p><p>traz a seguinte definição de crime:</p><p>[...] considera-se crime a infração penal a que a lei comina pena de reclusão ou</p><p>detenção, quer isoladamente, quer alternativa ou cumulativamente com pena de</p><p>multa; contravenção, a infração a que a lei comina, isoladamente, pena de prisão</p><p>simples ou de multa, ou ambas, alternativa ou cumulativamente (BRASIL, 1941b,</p><p>documento on-line).</p><p>Essa lei de introdução sem qualquer preocupação científico-doutrinária</p><p>limitou-se apenas a destacar as características que distinguem as infrações</p><p>penais, consideradas crimes, daquelas que constituem contravenções penais,</p><p>as quais, como é possível detectar, restringem-se à natureza da pena de</p><p>prisão aplicável. Ao contrário dos Códigos Penais de 1830 (artigo 2º, §1º) e</p><p>1890 (artigo 7º), o atual Código Penal em vigor, do ano de 1940, com reformas</p><p>em anos seguintes, não define crime, deixando a elaboração de seu conceito</p><p>à doutrina nacional. As experiências anteriores, puramente formais, eram</p><p>incompletas e defeituosas, recomendando o bom senso e o abandono daquela</p><p>prática (BITTENCOURT, 2013).</p><p>Fundamentos do direito penal cibernético 2</p><p>Todos os elementos estruturais do conceito analítico de crime adotado</p><p>pela doutrina e jurisprudência — com especial destaque às cortes superiores</p><p>do país, Superior Tribunal de Justiça (STJ) e Supremo Tribunal Federal (STF)</p><p>— indicam que crime é uma conduta típica, antijurídica e culpável. Assim,</p><p>apesar das diversas classificações em relação aos crimes, a utilizada e re-</p><p>conhecida no Brasil é essa definição tripartida, ou tripartite, (BITTENCOURT,</p><p>2013; SANTOS, 2014).</p><p>O tipo, ou melhor, a tipicidade do delito, é a maneira como o princípio da</p><p>legalidade no âmbito penal se apresenta no mundo dos fatos, uma vez que</p><p>é a descrição abstrata de um fato real que a lei penal proíbe. Logo, quando</p><p>um indivíduo pratica um ato atípico, mas a conduta do agente não se adequa</p><p>à uma norma penal (aos tipos de crimes descritos na lei penal), diz-se que</p><p>aquela conduta não é crime (LEBRE, 2015). O Código Penal traz expresso em</p><p>seu artigo 121, por exemplo, que o ato de matar</p><p>alguém é punível com pena</p><p>de reclusão de 6 a 20 anos; portanto, o tipo penal é o ato de matar alguém</p><p>(BRASIL, 1940). Contudo, se a legislação brasileira não indica que determinada</p><p>conduta é um crime, ela não pode ser caracterizada como tal, do contrário,</p><p>é indicada como conduta atípica ou não criminosa.</p><p>O segundo elemento que compõe a concepção de crime é a antijuridicidade,</p><p>que pode ser compreendida como a ilicitude da conduta, ou seja, um comporta-</p><p>mento que não é autorizado pela lei penal brasileira. Trata-se da contrariedade</p><p>que se estabelece entre um fato típico e o ordenamento jurídico como um todo.</p><p>Desse modo, ainda que o ato seja típico, se não estiver autorizado ou fomentado</p><p>por outra norma jurídica, não se fala em ilicitude da conduta, ou seja, não se</p><p>indica que a conduta é antijurídica. Caso a conduta esteja amparada por uma</p><p>causa de exclusão da ilicitude (da antijuridicidade), como é o caso da legítima</p><p>defesa ou do estado de necessidade, não se pode dizer que é um fato passível</p><p>de punição (LEBRE, 2015). Se uma pessoa estiver, por exemplo, em eminente</p><p>perigo durante a prática de um roubo e reagir, ferindo o autor do delito, essa</p><p>conduta não é ilícita, visto que o indivíduo agiu em legítima defesa.</p><p>Por último, tem-se o elemento da culpabilidade. Entende-se por culpabi-</p><p>lidade, ou conduta culpável, o juízo de reprovação que recai sobre a conduta</p><p>do agente que tem, ou pode ter, a consciência da ilicitude do ato praticado e a</p><p>possibilidade de agir em conformidade com as normas jurídicas (LEBRE, 2015).</p><p>Digamos que, usando de seus conhecimentos técnicos, um profissional de</p><p>tecnologia consegue acessar um banco de dados de cartão de crédito — ora,</p><p>aqui mora a culpabilidade, pois racionalmente o indivíduo sabe que, se utilizar</p><p>os dados sem autorização para obter vantagem financeira, virá a responder</p><p>criminalmente por seus atos; porém, se não o fizer não será punido.</p><p>Fundamentos do direito penal cibernético 3</p><p>Esses mesmos três elementos essenciais à indicação de que uma con-</p><p>duta é criminosa podem ser aplicados para determinar quando uma atitude</p><p>realizada via computador ou internet é considerada crime ou não. Nos casos</p><p>em que a conduta não tenha esses três elementos, a concepção enquanto</p><p>crime é afastada.</p><p>Nesse sentido, o direito cibernético é uma área do conhecimento jurídico</p><p>que estuda as relações sociais na internet, englobando leis e tipificando</p><p>condutas criminosas que são praticadas com a utilização de computadores</p><p>ou por meio da tecnologia da informação de maneira genérica. O direito ci-</p><p>bernético envolve desde fake news a fraudes eletrônicas, violações de direito</p><p>autoral, divulgação de informações e de imagens sem autorização, entre</p><p>tantas outras ações que podem ser praticadas no âmbito virtual. Partindo-se</p><p>da concepção de direito cibernético e do conceito analítico de crime, chega-</p><p>-se à concepção de crimes cibernéticos, conceituados como todas as ações</p><p>típicas, antijurídicas e culpáveis que são praticadas contra ou com o uso dos</p><p>sistemas da informática. Nesse sentido, Schmidt (2014, documento on-line)</p><p>abrange sob o conceito de crimes cibernéticos:</p><p>A conduta atente contra o estado natural dos dados e recursos oferecidos por</p><p>um sistema de processamento de dados, seja pela compilação, armazenamen-</p><p>to ou transmissão de dados, na sua forma, compreendida pelos elementos que</p><p>compõem um sistema de tratamento, transmissão ou armazenagem de dados, ou</p><p>seja, ainda, na forma mais rudimentar; 2. O “crime de informática” é todo aquele</p><p>procedimento que atenta contra os dados, que faz na forma em que estejam</p><p>armazenados, compilados, transmissíveis ou em transmissão; 3. Assim, o “crime</p><p>de informática” pressupõe dois elementos indissolúveis: contra os dados que</p><p>estejam preparados às operações do computador e, também, através do compu-</p><p>tador, utilizando-se software e hardware, para perpetrá-los; 4. A expressão crimes</p><p>de informática, entendida como tal, é toda a ação típica, antijurídica e culpável,</p><p>contra ou pela utilização de processamento automático e/ou eletrônico de dados</p><p>ou sua transmissão; 5. Nos crimes de informática, a ação típica se realiza contra</p><p>ou pela utilização de processamento automático de dados ou a sua transmissão.</p><p>Ou seja, a utilização de um sistema de informática para atentar contra um bem ou</p><p>interesse juridicamente protegido, pertença ele à ordem econômica, à integridade</p><p>corporal, à liberdade individual, à privacidade, à honra, ao patrimônio público ou</p><p>privado, à administração pública, [entre outros].</p><p>A partir do conceito trazido na Convenção de Budapeste de Cibercrime de</p><p>2001, pode-se indicar que os crimes de informática são aqueles perpetrados via</p><p>computadores, contra eles ou por meio deles, de maneira que a grande maioria</p><p>dos delitos é praticada por intermédio do sistema de internet (SCHMIDT, 2014).</p><p>Fundamentos do direito penal cibernético 4</p><p>Didaticamente, os crimes cibernéticos, também denominados crimes</p><p>virtuais, podem ser classificados como próprios (ou puros) e impróprios</p><p>(ou impuros). Os classificados crimes cibernéticos próprios são aqueles em</p><p>que o sujeito ativo usa o sistema informático do sujeito passivo, em que o</p><p>computador, como sistema tecnológico, é utilizado como meio para o come-</p><p>timento do delito (ALMEIDA et al., 2015). Essa categoria de crimes virtuais é</p><p>voltada a bens jurídicos em que a norma penal protege a inviolabilidade das</p><p>informações automatizadas, ou seja, os dados. Assim, incluem os delitos</p><p>eletrônicos que são praticados por computador e/ou que se consumam por</p><p>via eletrônica. Nos crimes próprios, a informática, a segurança dos sistemas,</p><p>a titularidade das informações e a integridade dos dados são os objetos</p><p>tutelados juridicamente (CARNEIRO, 2012).</p><p>Nesse âmbito, enquadra-se não apenas a invasão de dados não autorizados,</p><p>mas também quaisquer interferências em dados informatizados, tal como:</p><p>[...] invasão de dados armazenados em computador no intuito de modificar, alterar,</p><p>inserir dados falsos, ou seja, que atinjam diretamente o software ou hardware do</p><p>computador e só podem ser concretizados pelo computador ou contra ele e seus</p><p>periféricos (ALMEIDA et al., 2015, p. 224).</p><p>Por sua vez, os delitos cibernéticos impróprios são os praticados por meio</p><p>de computador usado como recurso para realização de atividades ilegais</p><p>que alcançam todo o bem jurídico já tutelado, ou seja, são crimes já tipifica-</p><p>dos no âmbito jurídico penal e que agora são realizados via computador ou</p><p>internet, usando o sistema de informática como meio para cometimento do</p><p>crime, diferenciando-se pela não imprescindibilidade do computador para</p><p>materialização do ato ilícito. Desse modo, tal ato pode ocorrer de diversas</p><p>maneiras e não fundamentalmente pela informática para alcançar a finalidade</p><p>almejada. É o que ocorre, por exemplo, no crime de pedofilia (ALMEIDA et al.,</p><p>2015). Nesse sentido, (CARNEIRO, 2012, documento on-line):</p><p>[...] os crimes eletrônicos impróprios [...] são aqueles em que o agente se vale do</p><p>computador como meio para produzir resultado naturalístico, que ofenda o mundo</p><p>físico ou o espaço “real”, ameaçando ou lesando outros bens, não computacionais</p><p>ou diversos da informática (CARNEIRO, 2012, documento on-line).</p><p>Tais crimes comuns — estelionato, extorsão, etc. —, os crimes cibernéticos</p><p>também têm dois polos: um de sujeição passiva e outro de sujeição ativa.</p><p>Em ambiente virtual, a imputação objetiva ao autor do delito e sua prova de</p><p>materialidade são questões problemáticas, sendo difícil definir quem é o</p><p>sujeito ativo do crime, já que, no mais das vezes, ocorre a ausência física do</p><p>Fundamentos do direito penal cibernético 5</p><p>agente. Ainda que seja genericamente simples compreender o que é sujeito</p><p>passivo a partir da teoria do direito penal, identificar quem são esses sujeitos</p><p>no mundo cibernético é um desafio para os agentes de investigação, mesmo</p><p>traçando um perfil desses criminosos, de que maneira agem e quais são</p><p>seus objetivos. Seu rastreamento é dificultado também</p><p>porque informações</p><p>como IP, login e senha, podem ser camuflados com dados inverídicos, o que</p><p>dificulta a rápida identificação do sujeito ativo nas práticas delituosas no</p><p>espaço virtual (ALMEIDA et al., 2015).</p><p>Do outro polo da relação estão os sujeitos passivos, que sofrem com a</p><p>lesão virtual praticada por um sujeito ativo no ambiente virtual. Desse modo,</p><p>podem ser sujeitos passivos pessoas físicas e jurídicas ou uma entidade</p><p>titular de bem jurídico de direito público ou privado. O sujeito passivo pode</p><p>ter bens desviados, seu patrimônio deteriorado ou mesmo ter informações</p><p>violadas pela ação de um sujeito ativo.</p><p>Vale destacar também as condutas danosas atípicas, que são as ações</p><p>praticadas por meio da rede mundial de computadores ou meios tecnológicos</p><p>que causam transtornos ou prejuízos à vítima, mas que, pela inexistência de</p><p>previsão legal em relação à ação cometida pelo sujeito ativo, não preveem</p><p>punição na seara criminal. Porém, ainda que não haja punição no âmbito penal,</p><p>o sujeito, quando identificado, pode ser responsabilizado no âmago civil, por</p><p>exemplo, por meio da obrigação de pagamento indenizatório por danos. Para</p><p>que essas questões sejam alcançadas pelo direito penal, além das disposi-</p><p>ções legislativas já existentes, é preciso haver melhor aprofundamento da</p><p>matéria de crimes cibernéticos pela lei penal, com ampliação de tipificações</p><p>específicas, diante da classificação de crimes cibernéticos abertos e crimes</p><p>exclusivamente cibernéticos. Os crimes cibernéticos são classificados pela</p><p>doutrina brasileira dominante como delito de natureza formal, posto que se</p><p>consumam no momento da prática da conduta delitiva, independentemente</p><p>da ocorrência do resultado naturalístico. Nesse sentido:</p><p>Trata-se de crime comum (aquele que pode ser praticado por qualquer pessoa),</p><p>plurissubsistente (costuma se realizar por meio de vários atos), comissivo (decorre</p><p>de uma atividade positiva do agente: “invadir”, “instalar”) e, excepcionalmente,</p><p>comissivo por omissão (quando o resultado deveria ser impedido pelos garantes</p><p>— art. 13, § 2º, do Código Penal), de forma vinculada (somente pode ser cometido</p><p>pelos meios de execução descritos no tipo penal) ou de forma livre (pode ser</p><p>cometido por qualquer meio de execução), conforme o caso, formal (se consuma</p><p>sem a produção do resultado naturalístico, embora ele possa ocorrer), instantâneo</p><p>(a consumação não se prolonga no tempo), monossubjetivo (pode ser praticado</p><p>por um único agente), simples (atinge um único bem jurídico, a inviolabilidade da</p><p>intimidade e da vida privada da vítima) (ALMEIDA et al., 2015, p. 227–228).</p><p>Fundamentos do direito penal cibernético 6</p><p>É preciso sublinhar que a comprovação da materialidade do delito criminal</p><p>é essencial à persecução criminal. Se ela inexiste, está ausente o requisito</p><p>mínimo para deflagração da ação penal, ou seja, a justa causa, sem possi-</p><p>bilidade de que seja instaurada uma ação penal com o objetivo de punir o</p><p>sujeito ativo que cometeu o ato ilícito de natureza cibernética.</p><p>Um relatório divulgado pela Conferência das Nações Unidas sobre</p><p>Comércio e Desenvolvimento pôs o Brasil em 4º lugar no ranking</p><p>mundial de usuários da rede mundial de computadores, com 59% de usuários</p><p>conectados em sua população. É nesse contexto que o ordenamento jurídico</p><p>penal brasileiro, seja pelo Código Penal, seja por legislações específicas, tende</p><p>a se tornar um instrumento normativo cada vez mais elaborado e atualizado,</p><p>com a finalidade de tipificar os crimes cibernéticos específicos. A sociedade civil</p><p>e os profissionais do âmbito criminal clamam por legislação específica para o</p><p>combate de delitos cibernéticos e meios de identificação desses criminosos,</p><p>que ameaçam direitos básicos e trazem insegurança para o âmbito virtual</p><p>(PADOVEZ; PRADO, 2019).</p><p>As leis brasileiras relacionadas ao direito</p><p>cibernético</p><p>As ciências jurídicas têm de se adaptar às novas realidades da sociedade, e não</p><p>seria para o direito cibernético. Com a revolução tecnológica e informacional,</p><p>é necessário revisitar as práticas utilizadas para que as ciências jurídicas</p><p>estejam de acordo com as novas tendências da vida cotidiana, o que inclui</p><p>os ambientes informatizados que vêm sendo amplamente utilizados para a</p><p>prática de condutas criminosas.</p><p>Partindo do pressuposto de que a rede mundial de computadores é um</p><p>ambiente globalizado, os crimes cibernéticos se proliferam de maneira ace-</p><p>lerada. Com a popularização da internet, surgiram indivíduos especializados</p><p>em praticar crimes no ciberespaço:</p><p>[...] um mundo de comunicação onde não é necessário haver a presença física do</p><p>homem para construir a comunicação. Assim, a interconectividade e o espaço in-</p><p>terligam pessoas, documentos e máquinas, considerando a internet como principal</p><p>ambiente do espaço virtual (SANTOS; MARTINS; TYBUCSH, 2017, documento on-line).</p><p>Fundamentos do direito penal cibernético 7</p><p>São muitos os meios de acesso a informações e para delitos cometidos no</p><p>âmbito virtual, incluindo crimes de natureza comum, como contra a honra,</p><p>pornografia infantil, pedofilia, delitos contra o sistema financeiro, fraudes,</p><p>extorsões, estelionatos, entre tantos outros. É nesse contexto que o Brasil</p><p>busca se adequar às novas realidades ao editar leis específicas para tratar</p><p>dessas questões, seja no Código Penal ou em legislações penais específicas.</p><p>Nesse contexto, foram editados documentos legais com a finalidade de inibir</p><p>novos crimes virtuais, como a Lei nº 12.735, de 2012, a Lei nº 12.737, de 2012,</p><p>o Marco Civil da Internet e, muito recentemente, a Lei nº 14.155, de 2021.</p><p>Nos últimos anos, órgãos da polícia judiciária buscaram se aperfeiçoar</p><p>frente ao crescimento vertiginoso de delitos cibernéticos praticados no</p><p>país. Também houve a criação de delegacias especializadas, que buscam</p><p>efetividade na individualização da autoria e materialidade delitiva. Nesse</p><p>sentido, foi sancionada a Lei nº 12.735, de 2012, apelidada de Lei Azeredo,</p><p>determinando aos órgãos de polícia judiciária a “criação de setores e equi-</p><p>pes especializadas no combate à ação delituosa em rede de computadores,</p><p>dispositivo de comunicação ou sistema informatizado”, conforme dispõe seu</p><p>artigo 4º (BRASIL, 2012a, documento on-line).</p><p>No mesmo ano, foi sancionada outra lei voltada aos delitos virtuais,</p><p>a Lei nº 12.737, apelidada de Lei dos Crimes Cibernéticos, ou ainda Lei Carolina</p><p>Dieckmann, que trouxe importantes alterações para o Código Penal (Decreto-</p><p>-lei nº 2.848, de 1940), formalizando e tipificando condutas delituosas no</p><p>ambiente informático, constituindo os denominados crimes cibernéticos</p><p>(ALMEIDA et al., 2015).</p><p>A tipificação dos crimes cibernéticos está prevista no artigo 1º da referida</p><p>norma legal. Uma importante inovação trazida pela Lei nº 12.737/2012 foram</p><p>as alterações na seção IV do Código Penal brasileiro, que trabalha com crimes</p><p>contra a inviolabilidade de segredos, uma vez que acrescentou ao documento</p><p>legal os artigos 154-A e 154-B. Esta lei criou o tipo penal “invasão de dispositivo</p><p>informático” (BRASIL, 2012b, documento on-line).</p><p>O caput do artigo 154-A do Código Penal pode ser avaliado como o maior</p><p>progresso trazido pela Lei nº 12.737/2012, cujo “objetivo principal é realizar o</p><p>combate às principais práticas danosas, conhecidas por trazerem transtornos</p><p>para quem se utiliza ou necessita dessas tecnologias” (ALMEIDA et al., 2015,</p><p>p. 229).</p><p>O objetivo dos artigos inseridos no Código Penal é combater a invasão</p><p>de dispositivos informáticos, quer estejam ou não ligados à rede de compu-</p><p>tadores. Dessa forma, para que a conduta delituosa ocorra, o sujeito ativo</p><p>deve invadir, violando ou transgredindo o dispositivo alheio, sem necessitar</p><p>Fundamentos do direito penal cibernético 8</p><p>estar conectado à internet, e com o objetivo de conseguir alterar ou destruir</p><p>dados ou informações.</p><p>Ademais, o §1º do artigo 154-A dispõe que incorre na mesma pena quem</p><p>“produz, oferece, distribui, vende ou difunde dispositivo ou programa de com-</p><p>putador com o intuito de</p><p>permitir a prática da conduta definida” (BRASIL, 2012b,</p><p>documento on-line). Assim sendo, para que se enquadre neste tipo penal,</p><p>o sujeito ativo deve congregar elementos objetivos e subjetivos do tipo penal.</p><p>O §2º do artigo 154-A, que traz uma possibilidade de aumento de pena</p><p>nos casos em que a invasão resulta em prejuízo econômico, foi recentemente</p><p>alterado pela Lei nº 14.155, de 2021, a qual endureceu a pena (BRASIL, 2021).</p><p>Os parágrafos 2º ao 5º do [artigo 154-A] preveem formas qualificadas pelo resultado,</p><p>as quais, em síntese, serão assim configuradas se a invasão tiver como resultado</p><p>a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comer-</p><p>ciais ou industriais ou sigilosos ou controle remoto não autorizado do dispositivo</p><p>invadido. Contudo, caso haja a divulgação, comercialização ou transmissão a</p><p>terceiros dos dados obtidos mediante as referidas condutas delitivas, a pena será</p><p>aumentada de um a dois terços. Nesse mesmo sentido, aumenta-se de um terço ou</p><p>até a metade se o crime cometido for praticado contra o Presidente da República,</p><p>governadores e prefeitos, Presidente do STF, o da Câmara dos Deputados e Senado,</p><p>o da Assembleia Legislativa, o presidente da Câmara Legislativa do Distrito Federal</p><p>e Municipal e contra pessoas que possuam “cargos máximos” da administração</p><p>pública direta e indireta, seja qual for a esfera (ALMEIDA et al., 2015, p. 229–230).</p><p>É importante destacar que os delitos contra inviolabilidade dos segredos</p><p>têm guarida constitucional, relativamente à proteção da intimidade e da vida</p><p>privada da pessoa, conforme a disposição do artigo 5º, inciso X, da Carta</p><p>Magna (BRASIL, 1988).</p><p>Além dessas questões, o artigo 154-B também inovou o Código Penal ao</p><p>passar a prever a natureza da ação penal, indicando, de maneira genérica,</p><p>que aos crimes cibernéticos a ação penal é pública condicionada à represen-</p><p>tação, ou seja, a vítima deve autorizar expressamente a autoridade policial a</p><p>fazer as investigações e o membro do Ministério Público a realizar o início da</p><p>persecução criminal. Porém, há uma ressalva neste artigo: quando o delito</p><p>ocorre contra a administração pública direta ou indireta de qualquer esfera</p><p>de poder, a ação penal será pública incondicionada, ou seja, dispensa-se a</p><p>representação da vítima (ALMEIDA et al., 2015).</p><p>Vale ressaltar que também está prevista a proteção da vítima de deter-</p><p>minados crimes contra os deletérios efeitos que, eventualmente, podem</p><p>vir a ser causados pela divulgação pública do fato. Assim, a representação</p><p>criminal pode ser oferecida sem formalidades, verbalmente ou por escrito,</p><p>Fundamentos do direito penal cibernético 9</p><p>bastando a demonstração clara do interesse do ofendido em ver apuradas</p><p>a autoria e materialidade do fato (PACELLI, 2019).</p><p>De acordo com o disposto no artigo 41 do Código de Processo Penal,</p><p>a denúncia ou queixa “conterá a exposição do fato criminoso, com todas as</p><p>circunstâncias, a qualificação do acusado ou esclarecimentos pelos quais se</p><p>possa identificá-lo, a classificação do crime e, quando necessário, o rol de</p><p>testemunhas” (BRASIL, 1941a, documento on-line). Desse modo a denúncia</p><p>pode ocorrer de maneiras diferentes no âmbito do crime cibernético: quando</p><p>o fato está vinculado com a necessidade de representação, a denúncia ou</p><p>queixa é realizada por meio da vítima; nos casos em que a legislação relativa</p><p>aos delitos cibernéticos indica outra possibilidade, a denúncia será realizada</p><p>por meio do Ministério Público.</p><p>Cabe ainda observar que o processo penal tem ritos procedimentais</p><p>diferentes, a depender do quantum da pena ou da especificidade do delito.</p><p>Assim, delitos de menor potencial ofensivo tramitam sob o rito sumaríssimo;</p><p>nos casos em que o crime tiver sanção máxima de 4 anos de pena privativa</p><p>de liberdade, o procedimento será o do rito sumário; casos em que a sanção</p><p>máxima for igual ou superior a 4 anos, o rito é o ordinário; finalmente, alguns</p><p>delitos têm ritos especiais, como é o caso dos crimes contra a vida, de que</p><p>é exemplo o homicídio, que tramitam sob o rito do Tribunal do Júri (BRASIL,</p><p>1941a).</p><p>Tal distinção é importante, uma vez de cada um dos ritos têm fases pro-</p><p>cessuais diferentes e, portanto, cada delito, seja comum ou cibernético, será</p><p>processado de acordo com o rito que for cabível às suas especificidades.</p><p>No rito ordinário, feita a denúncia ou queixa, o magistrado pode recebe-la ou</p><p>rejeitá-la. Recebendo-a, abre prazo para que seja apresentada a resposta à</p><p>acusação. Após análise da peça processual, o juiz pode absolver sumariamente</p><p>o acusado ou indicar dia e hora para que ocorra a audiência de instrução e</p><p>julgamento, a apresentação de alegações finais e, finalmente, a proficiência</p><p>da sentença do caso penal. No rito sumário, o curso do processo é igual ao do</p><p>rito ordinário. O rito sumaríssimo, adotado pelos Juizados Especiais Criminais,</p><p>diferencia-se dos ritos ordinário e sumário pois, depois de oferecida a denúncia</p><p>ou queixa, o acusado é citado para se apresentar em audiência preliminar.</p><p>Somente após a audiência preliminar ocorre o juízo de admissibilidade, e em</p><p>seguida o magistrado procede com o recebimento da denúncia (PACELLI, 2019).</p><p>Além dessa inovação legislativa, a Lei nº 12.737/2012 também deu nova</p><p>redação ao artigo 266 do Código Penal, adicionando à espécie do tipo norma-</p><p>Fundamentos do direito penal cibernético 10</p><p>tivo o serviço informático, telemático ou de informação de utilidade pública,</p><p>indicando, na mesma medida, que a interrupção ou perturbação das novas</p><p>formas de comunicação também são consideradas crimes. Por fim, em seu</p><p>artigo 298, a Lei nº 12.737/2012 modifica o Código Penal, acrescentando pará-</p><p>grafo único em que realizou a equiparação do cartão de crédito e de débito</p><p>aos documentos particulares (ALMEIDA et al., 2015).</p><p>Muito recentemente, em 27 de maio de 2021, passou a vigorar, a partir da</p><p>data de publicação, a Lei nº 14.155, que também traz alteração ao texto do</p><p>Código Penal, adicionando penas mais duras contra crimes cibernéticos. A lei</p><p>ampliou as penas por crime de furto e estelionato cometidos via dispositivos</p><p>eletrônicos, criando um agravante para o crime de furto realizado por esses</p><p>aparelhos, estejam ou não conectados à internet, quer por meio da violação</p><p>de senhas, mecanismos de segurança ou com o uso de programas invasores</p><p>(VILELA, 2021). Ademais, passou a prever qualificadoras ao tipo penal, nos</p><p>casos em que o crime cibernético é praticado contra idoso ou vulnerável ou</p><p>quando a prática delituosa ocorre pela utilização de servidor mantido fora</p><p>do território nacional (BRASIL, 2021).</p><p>Já o crime de estelionato, previsto no artigo 171 do Código Penal, passou a</p><p>prever a fraude eletrônica, com aumento da rigidez da pena nos casos em que:</p><p>[...] a fraude é cometida com a utilização de informações fornecidas pela vítima</p><p>ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou</p><p>envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento</p><p>análogo (BRASIL, 1940, documento on-line).</p><p>Dentre as fraudes eletrônicas mais praticadas nos dias de hoje,</p><p>estão as seguintes:</p><p>[...] técnicas de engenharia social e de infecção por códigos maliciosos (malware),</p><p>tais como o phishing (mensagens com conteúdo enganoso que estimulam o acesso a</p><p>páginas maliciosas simuladas que coletam dados pessoais), o vishing (criminoso que</p><p>explora a confiança da vítima, fazendo-a crer que a ligação telefônica é autêntica</p><p>e segura, a fim de induzi-la a praticar ações por ele demandadas), o man-in-the-</p><p>-midle (criminoso que se coloca artificialmente entre duas partes que estão em</p><p>comunicação e, interceptando seu conteúdo, finge ser uma delas para obter dados</p><p>úteis ao seu intento) e o sim swap (criminoso que compra um chip “em branco”,</p><p>explora os protocolos de autenticação da operadora e, assim, ao clonar o número,</p><p>obtém acesso às mensagens, senhas e até contas de aplicativos da vítima) (LAI;</p><p>MOURÃO, 2021, documento on-line).</p><p>Fundamentos do direito penal cibernético</p>